サイバー攻撃の増加・巧妙化により、国内企業のセキュリティ被害は拡大傾向にある。ランサムウェア攻撃やサプライチェーンリスク、日々見つかる新たな脆弱性など多岐にわたる脅威に対策を行うことは容易ではない。情報処理推進機構（IPA）が1月に発表した「情報セキュリティ10大脅威2023」の組織編を参考に、サイバー攻撃の傾向やその対策を分析する。
（取材・文／岩田晃久）
 

1位は昨年に続きランサムウェア

　セキュリティ10大脅威は、セキュリティ分野の研究者や企業の実務担当者などの有識者で構成される選考会が、最新のセキュリティ脅威について審議・投票し、順位付けしたもの。毎年1月に発表され、その後も数カ月にわたって解説資料を更新するなど、企業などの組織によるセキュリティ対策に役立つ情報を提供している。順位は、前年のニュースや昨今の状況を考慮して決められており、危険度の高さに応じた順番ではない。

　23年版のセキュリティ10大脅威の1位は、前年に引き続き「ランサムウェアによる被害」だった。ランサムウェアに感染すると、PCやサーバーのデータを暗号化され、復旧と引き換えに金銭を要求される。その手口は年々悪質化しており、10大脅威の解説書では、データの暗号化に加え、窃取情報の暴露、DDoS攻撃予告、攻撃を受けていることの暴露などを組み合わせて、最大で四重の脅迫が確認されているとした。
 
　IPAのセキュリティセンターセキュリティ対策推進部脆弱性対策グループの内海百葉氏は「攻撃者は社会的な影響を含めた攻撃を行うことで金銭を払わせやすくしている」と分析する。感染経路も従来はメールを介したケースが多かったが、VPNの脆弱性を悪用したり、意図せず外部公開されているリモートデスクトップポートに不正ログインするなど巧妙化している。

　2位には、22年に3位だった「サプライチェーンの弱点を悪用した攻撃」が入った。サプライチェーン攻撃を大きく分けると、セキュリティが強固な企業を直接攻撃するのではなく、その関連会社や取引先などの外部組織を通じて侵入や情報の窃取するケースと、ソフトウェアサプライチェーンと呼ばれるソフトウェア開発・提供の工程の中で、アップデートプログラムなどにマルウェアを混入させるケースがある。

　22年3月にトヨタ自動車（トヨタ）の取引先部品メーカーである小島プレス工業がサイバー攻撃を受けサーバーやPCがウイルスに感染したため業務を停止。その結果、トヨタの国内全工場の停止につながった。サプライヤーが攻撃を受けると納入先にも深刻な影響を与えることが明白となった事件だった。

　現在、大手企業はサプライチェーンセキュリティへの取り組みを強化しており、委託先となる中堅・中小企業にもセキュリティ対策の徹底が求められつつある。セキュリティ人材がいない場合が多い中堅・中小企業においては、セキュリティ強化は容易ではないが、重要な経営課題となるため、トップダウンでの取り組み、各種ガイドラインを参考にするといったことが大切になるという。

　3位は「標的型攻撃による機密情報の窃取」となった。標的型攻撃は特定の組織を標的にサイバー攻撃を仕掛け、機密情報の搾取や業務妨害を行うもので、10大脅威においても長年、ランクインしている。手口としては、メールにファイルを添付したり、リンクを記載したりして、そこからウイルスに感染させる「やり取り型攻撃」や、Webサイトを改ざんしてウイルスを仕込む「水飲み場型攻撃」、組織の利用するクラウドサービスやWebサーバー、VPNといった製品の脆弱性を突いて認証情報を搾取し、その認証情報を利用して攻撃する不正アクセスなどがある。

　22年9月にロシアのハッカー集団「キルネット」が、日本政府が運営する行政情報のポータルサイト「eーGov」や東京メトロ、大手クレジットカード会社などを標的にDDoS攻撃を行い、Webサイトなどが閲覧しづらくなる状況に陥った。

　注意しなければならないのは、ランサムウェア攻撃、サプライチェーン攻撃、標的型攻撃が単体ではなく、それらを組み合わせた攻撃が主流となっていることだ。トヨタのケースでは、サプライチェーン上の取引先企業にランサムウェアによる攻撃が行われた。また、22年10月には、大阪急性期・総合医療センターが、ランサムウェア攻撃によって電子カルテなどが暗号化され、外来診療や各種検査の停止を余儀なくされるなど、最近は、病院を標的としたランサムウェア攻撃が増えている。