昨今サイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、深刻化しています。特に、ファイルを暗号化し利用不可能な状態にしたうえで、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するソフトウェア(ランサムウェア)が横行しています。本記事ではサイバーセキュリティの第一人者である淵上 真一氏が、サイバー攻撃の実態と、企業が取るべき対策について詳しく解説します。
無作為に片っ端から攻撃<ネット版>身代金要求犯罪のトレンド
「うちは日本企業だから」「製造業ではないから」「重要インフラを持っていないから」「規模が小さいから」「機密というほどの情報を持っていないから」……。サイバー攻撃に対して、こんなふうに思っているとすれば、今すぐその感覚を捨ててください。
報道では、特定の国や業界が狙われているような印象を抱くことがありますが、私たちが観測している範囲では、どんな国でもどんな業種でも狙われているのが現状です。
有名なランサムウェアグループ「LockBit」は、攻撃に成功しても被害者が身代金の支払いに応じない場合、リークサイトに社名を公開しています。公開された社名のうち日米の企業について集計したところ、製造業、サービス業の順で多いことは間違いありませんが、そもそも産業の構成自体がその順で多いわけですから、それだけで「製造業だけが狙われている」と結びつけることはできません。
「標的型攻撃」と呼ばれている特定企業や団体を狙った攻撃も続いていますが、今、猛威を振るうランサムウェアによる攻撃は金銭目的であり、RaaSを使って機械的に片っ端から攻撃しています。攻撃先がどのような企業なのかは関心事ではないのです。「満遍なく狙われている」と捉えて、緊張感を持って対応すべきでしょう。
余談ですが、国家背景の攻撃者の場合には、RaaSの設定から特定の国を攻撃の対象外にすることはあるようです。
企業イメージが失墜しかねないダメージを受けることも
プライバシーや個人情報の保護も「セキュリティ」として扱われています。これらに関する問題が発生すると、制裁金を科せられたり、被害者へ補償金を支払ったり、あるいは民事訴訟で責任を問われたりすることがあり、企業イメージの失墜にもつながります。
【12/18(木) 『モンゴル不動産セミナー』開催】
坪単価70万円は東南アジアの半額!! 都心で600万円台から購入可能な新築マンション
日本電気株式会社(NEC)Corporate Executive CISO兼サイバーセキュリティ戦略統括部長
NECセキュリティ取締役(※2024年4月着任)
ベンチャー系SIerにて、プログラマ、ネットワークエンジニアを経た後、学校法人にて教鞭を執る傍ら、組織のセキュリティコントロールを手がける。
また、司法・防衛関連のセキュリティトレーニングに携わる。NECではサイバーセキュリティ全社統括を担当し、NECセキュリティの取締役に着任。
CISSP認定機関ISC2の認定主任講師として人材育成活動も務めており、2016年には、ISC2よりアジアパシフィック地域でセキュリティの発展に貢献した一人として、ISLA Senior Information Security Professionalを受賞。情報処理安全確保支援士集合講習認定講師、HardeningProject実行委員、北海道大学情報基盤センター客員研究員、一般財団法人日本情報経済社会推進協会(JIPDEC)評議員、一般社団法人サイバー安全保障人材基盤協会(CSTIA)理事。著書に『イラスト図解でよくわかるネットワーク&TCP/IPの基礎知識』(技術評論社、2018)がある。
著者プロフィール詳細
連載記事一覧
連載経営者がやるべきサイバーセキュリティーの基本を解説!
検索
