ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
警察庁によれば、2024年に警察庁が設置したセンサーに対して脆弱性を探索する行為などを実行する不審なアクセス件数は、1日に1IPアドレス当たりで約9500件にも上った。2011年以降に増加の一途をたどり、1日に1つのIPアドレスに1万もの不審なアクセスがあるような状況になっている。送信元はほとんどが海外からのものだという。
サイバー攻撃の手法は、日々進化し続けている
同じく警察庁では、生成AIを含むAI関連の発展が及ぼすセキュリティリスクも言及している。例えば、不正プログラム、フィッシングメール、偽情報作成への悪用、兵器転用、機密情報の漏えいといった側面でAIの悪用が懸念されているというのだ。AIを悪用することで、専門知識がなくてもサイバー攻撃に悪用できる情報にアクセスが可能になる危険性も高まる。「実際に生成AIを利用して不正プログラムを作成した容疑での逮捕者も出ている」と警察庁は警鐘を鳴らしている(参考:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)。
次に、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」を見てみよう。最新の2025年版の組織への脅威では、1位が「ランサム攻撃による被害」(10年連続10回目)、2位が「サプライチェーンや委託先を狙った攻撃」(7年連続7回目)、3位が「システムの脆弱性を突いた攻撃」(5年連続8回目)と、常連とも言える脅威が上位に並ぶ。
この一方で、7位の「地政学的リスクに起因するサイバー攻撃」のような初選出の脅威や、「分散型サービス妨害攻撃(DDoS)のように5年ぶりに選出された脅威もある。定番の脅威から、新しい脅威や復活してきた脅威まで、企業は多方面で守りを固め、インシデントが起きた際の対応を検討しておかなければならないのだ。
セキュリティ対策は、常にアップデートしないといけない
こうした状況を見ると、セキュリティ対策とは、「ある時点」で実施したから安全という考えでは正しくないことがわかるだろう。サイバー攻撃を仕掛けてくる側は、日々研究している。特に身代金を要求するランサム攻撃(ランサムウエア)では、実際に多額の金銭的なやり取りが実行されてしまうこともある。もうかるビジネスであればあるほど、攻撃者は技術や手段を磨き上げてくる。その上、まだ見ぬ新しい脅威が猛威を振るう可能性さえも、常に存在している。
こうなると、対する企業や団体なども、セキュリティ対策を常にアップデートしていかないと、最新の脅威から守れなくなる。脆弱性があるソフトウエアなどは最新の対策を施さなければならない。セキュリティ対策の技術や手法も進化しているので、新しい対策が自社や自団体にとってどのような価値を見いだすのかを評価し、導入の検討も続ける必要がある。
その上で、実際に情報を取り扱う従業員へのセキュリティ教育を徹底し、こちらもアップデートし続けることが求められる。標的型攻撃のように、企業を特定して攻撃を仕掛けてくる場合は、取引先や自社の役員などから本人をかたったメールが届き、架空口座に大金を振り込まされるケースもある。そうなると、人間の判断が最後のとりでになるのだ。
自ら情報を取得しアップデート、アウトソーシングも活用
繰り返しになるが、変化し続けるサイバー攻撃の環境に対応するためには、自ら情報を取得してアップデートする必要がある。前述したIPAでは、重要なセキュリティ情報をまとめて発信している。内閣府サイバーセキュリティセンター(NISC)でも、リスクや啓発に関する情報を公開している。さらにNISCのWebサイトからは各府省庁のサイバーセキュリティ関連情報にもリンクできる。同時に、セキュリティ対策を提供するベンダーなども、定期的に情報を提供しているので、チェックを怠らないようにしたい。
IPAのような団体や、セキュリティベンダーなどは、セキュリティ関連の最新情報とその対策を広く知らしめるためのセキュリティイベントを随時開催している。こうしたイベントに参加することで最新情報を得たり、企業や団体同士の横のネットワークを作ったりすることも重要な対策の1つになる。
万が一のケースとして、顧客情報を漏えいさせたり、サプライチェーンを止めたりしてしまった場合には、「そのような脅威は知らなかった」では済まされない。企業の存続に関わるような事態になることも考えて、情報収集に取り組みたい。
とはいえ、特に中小企業ではセキュリティ対策のような「守り」の取り組みに対しては、リソースが不足することもある。そのような場合には、最新情報の収集からリスクアセスメント、セキュリティ対策、そしてインシデント発生時の対応までを、一元的にアウトソーシングする方法も検討したい。自分たちで対応しきれないセキュリティ対策を専門家に任せることで、安心して自社のリソースを企業の成長に振り分けるといった分業体制にかじを切ってみてはいかがだろうか。
※掲載している情報は、記事執筆時点のものです
執筆=岩元 直久
【MT】
あわせて読みたい記事
連載バックナンバー
強い会社の着眼点
- 第25回 セキュリティ対策には情報収集が不可欠!効果的な方法は? 2025.05.09
- 第24回 GW休暇に備える!社内のインシデント対応力強化のポイント 2025.04.15
- 第23回 2025年5月までに施行!「セキュリティクリアランス制度」を解説 2025.04.17
- 第22回 ランサムウエア被害の復旧には1000万円以上も!?対策のポイント 2025.02.03
- 第21回 ハッカーたちは休日がお好き?長期休暇明けは特に注意 2025.02.03
- 第20回 「サイバーセキュリティ月間」に改めて考える!対策のポイント 2025.02.03
- 第19回 古いルーターはリスクフル!買い替えポイントは? 2024.12.26
- 第18回 拡大する有名人のなりすまし詐欺。対策を急げ 2024.12.26
- 第17回 見逃し多数、こんなにも紙文書 2023.06.30
- 第16回 業界別に考える!ビジネスチャットうまい活用 2022.12.21
- 第15回 進む"書類のデータ化"。データ保管の最適解は 2022.12.20
- 第14回 文書管理のココが困った。どこから手を付けるべきか 2022.12.20
- 第13回 "電話DX"が会社を強くする 2022.07.27
- 第12回 EC活用で売り上げ増狙う。その勘所 2022.06.29
- 第11回 ビジネスチャット選びの3つのポイント 2021.07.07
- 第10回 その場にいなくても情報を視える化したい 2021.03.17
- 第9回 リモートワーク、楽しいコミュニケーション強化法 2020.11.18
- 第8回 目で見る管理。プロは現場・社員を見る 2020.02.19
- 第7回 あり?なし?ペーパーレス 2018.03.14
- 第5回 名刺情報は企業資産。一刻も早く共有化して活用を 2017.03.01
- 第4回 「出張」無用論 2016.12.07
- 第3回 「会社に戻らないと対応できない」をなくせ 2016.11.01
- 第2回 会議資料のプリントアウトは年10万円以上無駄? 2016.10.12
- 第1回 視線が集まるプレゼンテーション 2016.09.07