トピックス　サイバーセキュリティ

⚫️2021.9.10日本経済新聞🗞

【サマリー】
中小企業のサイバーセキュリティ対策脆弱

【思ったこと】
経営基盤の見直しに際して
デジタル化の推進は必須
デジタル化しても、サイバーでデータ消失等破壊される可能性もぬぐえない
ある程度お金かけないとデジタル化とセキュリティ強化の両輪は無理
やっぱりIT補助金は拡充すべき

【記事全文】
データを暗号化し金銭を要求するサムウエア（身代金要求型ウイルス）で、中小企業のサイバーセキュリティーの脆弱性が狙われている。専門人材の確保の遅れなどが影響し、警察庁の調査で被害の6割以上を占める。世界的に攻撃が増えるなか、取引先に波及する「二次被害」による経営リスクも高まっており、対策強化が急務だ。
警察庁が9日公表した調査によると、企業や団体のランサムウエアの被害の報告件数は1～6月に61件、このうち66%にあたる40件が中小企業だった。
人材不足で被害
セキュリティー問題に詳しいS&J（東京・港）の三輪信雄社長は「最近の攻撃は、手当たり次第に標的を探す傾向が強い」と話す。大企業に比べ、中小企業はサイバー人材が不足するなど、セキュリティー面の対策が手薄になりがちで、被害が増えているという。
新型コロナウイルスの感染拡大で、利用が広がるテレワークのシステムも狙われている。
大企業の子会社も例外ではない。7月に川崎汽船は海外子会社への不正アクセスで情報流出があったと公表。関係者によると、原因はランサムウエアの一種で、闇サイト上で取引先の情報などが暴露されたという。
影響は攻撃を受けた企業にとどまらない。重要な情報を暗号化して使えなくさせるだけでなく、暗号化前にデータを盗み出すケースもある。身代金の支払いを拒否すればインターネット上で暴露すると脅す「二重脅迫」が主流になりつつある。
データに取引先や顧客の情報が含まれれば、重要な業務資料や個人情報の流出につながる。2月に自治体向けコンサルティング会社が感染し、取引のあった200超の自治体で個人情報流出の可能性があることが判明した。
海外では取引先や顧客を標的に、直接脅迫する手口も確認されている。
2020年10月にフィンランドの医療機関が被害に遭い、数万人分の患者情報が流出。攻撃者は医療機関に加え、患者個人にも金銭を支払うよう求めるメールを送りつけた。三輪社長は「子会社や中小から情報が漏れ、親会社の大手や取引先が金銭要求される例は今後、日本でも増えかねない」とみる。
イスラエルのセキュリティー大手チェック・ポイント・ソフトウェア・テクノロジーズによると、今年上半期（1～6月）に世界で被害に遭った組織数は6184件で、昨年下半期（7～12月）と比べて2割増えた。警察庁によると、国内でも同期間の比較で被害の報告件数は3倍に急増した。
米サイバー対策企業が20年に実施した調査では、回答した日本企業の52%が「過去1年以内にランサムウエアによる攻撃を受けた」と答えた。身代金を支払ったとの回答も32%あり、平均支払額は117万ドル（約1億2700万円）だった。
報奨金で抑止
ランサム攻撃の犯罪集団は主に金銭目的で、国家や企業が持つ軍事情報や先端技術を狙うスパイ組織とは異なる場合が多い。
当局も対策を急ぐ。米国務省は7月、ランサムウエアなどのサイバー犯罪の情報提供者に最大1000万ドル（約11億円）を支払うと発表した。ランサム攻撃を「テロ」と位置づけ、巨額の報奨金で抑止を図る。
日本でも警察庁が重大サイバー犯罪を直接捜査する「サイバー隊」と指揮監督する「サイバー局」を22年度にも新設する方針だ。同庁幹部は「海外の捜査機関との連携を深めるなどして国境を越えた攻撃の抑止や摘発につなげたい」と話す。
（柏木凌真、サイバーセキュリティーエディター　岩沢明信）


データを暗号化し金銭を要求するランサムウエア（身代金要求型ウイルス）で、中小企業のサイバーセキュリティーの脆弱性が狙われている。専門人材の確保の遅れなどが影響し、警察庁の調査で被害の6割以上を占める。世界的に攻撃が増えるなか、取引先に波及する「二次被害」による経営リスクも高まっており、対策強化が急務だ。
警察庁が9日公表した調査によると、企業や団体のランサムウエアの被害の報告件数は1～6月に61件、このうち66%にあたる40件が中小企業だった。
人材不足で被害
セキュリティー問題に詳しいS&J（東京・港）の三輪信雄社長は「最近の攻撃は、手当たり次第に標的を探す傾向が強い」と話す。大企業に比べ、中小企業はサイバー人材が不足するなど、セキュリティー面の対策が手薄になりがちで、被害が増えているという。
新型コロナウイルスの感染拡大で、利用が広がるテレワークのシステムも狙われている。
大企業の子会社も例外ではない。7月に川崎汽船は海外子会社への不正アクセスで情報流出があったと公表。関係者によると、原因はランサムウエアの一種で、闇サイト上で取引先の情報などが暴露されたという。
影響は攻撃を受けた企業にとどまらない。重要な情報を暗号化して使えなくさせるだけでなく、暗号化前にデータを盗み出すケースもある。身代金の支払いを拒否すればインターネット上で暴露すると脅す「二重脅迫」が主流になりつつある。
データに取引先や顧客の情報が含まれれば、重要な業務資料や個人情報の流出につながる。2月に自治体向けコンサルティング会社が感染し、取引のあった200超の自治体で個人情報流出の可能性があることが判明した。
海外では取引先や顧客を標的に、直接脅迫する手口も確認されている。
2020年10月にフィンランドの医療機関が被害に遭い、数万人分の患者情報が流出。攻撃者は医療機関に加え、患者個人にも金銭を支払うよう求めるメールを送りつけた。三輪社長は「子会社や中小から情報が漏れ、親会社の大手や取引先が金銭要求される例は今後、日本でも増えかねない」とみる。
イスラエルのセキュリティー大手チェック・ポイント・ソフトウェア・テクノロジーズによると、今年上半期（1～6月）に世界で被害に遭った組織数は6184件で、昨年下半期（7～12月）と比べて2割増えた。警察庁によると、国内でも同期間の比較で被害の報告件数は3倍に急増した。
米サイバー対策企業が20年に実施した調査では、回答した日本企業の52%が「過去1年以内にランサムウエアによる攻撃を受けた」と答えた。身代金を支払ったとの回答も32%あり、平均支払額は117万ドル（約1億2700万円）だった。
報奨金で抑止
ランサム攻撃の犯罪集団は主に金銭目的で、国家や企業が持つ軍事情報や先端技術を狙うスパイ組織とは異なる場合が多い。
当局も対策を急ぐ。米国務省は7月、ランサムウエアなどのサイバー犯罪の情報提供者に最大1000万ドル（約11億円）を支払うと発表した。ランサム攻撃を「テロ」と位置づけ、巨額の報奨金で抑止を図る。
日本でも警察庁が重大サイバー犯罪を直接捜査する「サイバー隊」と指揮監督する「サイバー局」を22年度にも新設する方針だ。同庁幹部は「海外の捜査機関との連携を深めるなどして国境を越えた攻撃の抑止や摘発につなげたい」と話す。
（柏木凌真、サイバーセキュリティーエディター　岩沢明信）

210611NewsPicks
身代金１２億円支払い　米での食肉大手へのサイバー攻撃　米紙に幹部明かす

⚫️210614日経

企業や政府機関を狙ったサイバー攻撃が増加し、官民挙げての備えが急務になっている。
セキュリティー対策の遅れが目立つのが中小企業だ。狙われる対象はDX（デジタルトランスフォーメーション）やテレワークを進める大企業などにとどまらない。企業規模にかかわらずサイバー攻撃の危険を「我が事」としてとらえ、守りを固める必要がある。
日本損害保険協会の2020年の調査によると、セキュリティー対策で「社員教育」を実施している中小企業は28%、「暗号化などによるデータ保護」は25%にとどまり、いずれも大企業を10ポイント超下回る。サイバー攻撃を「経営上の重大リスク」と考える割合も大企業より低い。しかしそうした認識は大きな危険をはらんでいる。
近年懸念されるのがサプライチェーンを狙った攻撃だ。対策が手薄な企業を突破口にして、親会社や取引先である大企業の機密情報を盗んだり、ランサムウエア（身代金要求型ウイルス）に感染させたりする手口である。
いったん攻撃を受ければ被害が広範囲に及ぶ可能性がある。「自社は重要機密を扱っていないから関係ない」という言い訳は通用しない。多額の経済的損害を被るだけでなく、大事な顧客や社会の信用も失うことになる。まずは経営者自身が意識を改め、リスクを最小化する対策を講じるべきだ。
経営資源に余裕がない中小企業の場合、専門知識を持った人材を配置したり、高度なシステムを導入したりするのが難しい面もある。国や自治体、経済団体などの役割も重要になる。
今春、独立行政法人情報処理推進機構（IPA）が、経済産業省と連携して中小企業のセキュリティー対策を支援する事業を始めた。商工会議所や民間事業者が主体となり、相談に応じたり、システムを監視したりする。
こうした多面的な取り組みをさらに広げることが必要だ。国全体でサイバー防衛網の「穴」を塞がなければならない。