サイバーコラム

09/22 日経朝刊

ランサムウェア、技術なくても攻撃 実行役誘う集団暗躍

身代金目的のサイバー攻撃であるランサムウェアの脅威が強まっているそうです。21日公表の警察庁の分析でウイルス開発などを有償のサービスとして担う集団が確認されたとのこと。集団は世界で20を超え、攻撃の実行役を勧誘しているとみられ、高度な技術がなくても加担できるため攻撃者が無数に増える恐れがあります。こういう現状は何年も前から言われていたことですが、情報として伝えられることが少なかったので、こうした新聞記事は非常に重要だと思います。

最近ではデータを暗号化することなく情報を盗み、暴露すると脅して身代金を要求する「ノーウエアランサム」の被害も確認されており、益々対策の必要性が高まっています。

しかしながら、侵入方法は高度化しており、完全に防御するのは難しく、侵入後の攻撃を封じ込める考えが重要です。自社のネットワーク内の通信を用途に応じて細かく区切るなどして、侵入された場合の被害を最小限に抑える「マイクロセグメンテーション」と呼ばれる対策が効果的なようですが、セキュリティの専門人材がいない中小企業にとっての最大の課題は、いつ攻撃にあって、被害を受けているかの判断ができないということです。

気づいた時には被害が拡大しており、第三者に感染を広げてしまっている可能性もあります。

そこで有効なのが「EDR(端末などの感染を検知、対処するソフトウェア)」とその監視を任せるサービス「SOC」の活用です。

弊社では中小企業でも導入できる体制を整えておりますので、ご関心のある方はお気軽にお問合せください。


09/17 日経朝刊

サイバー攻撃、大手クラウド悪用6倍 アマゾンやグーグル経由

アマゾンやグーグルなどの大手クラウドサービスを悪用したサイバー攻撃が増えているとのこと。クラウド経由の場合、防御のための通信のブロックが難しいため侵入が防ぎにくいそうです。

犯罪者がクラウドサービスを利用するのは、攻撃が検知されにくいことが一因で、通常の防御では特定のサーバーとの通信をブロックして侵入を一定程度防いでいますが、クラウドサービスの通信をブロックすると正常な通信も妨害してしまうリスクがあるため、対応しづらいということがあります。

犯罪者はマルウェアを送り込む攻撃のインフラとしてクラウドサービスを利用しており、ダークウェブ上のカード情報を使ってクラウドに登録しています。

トレンドマイクロによると大手クラウドの無料サービスを短期間で乗り換えながら攻撃を仕掛けてきており、AIなどを利用して通信を多角的に分析し、検知する仕組みが必要とのことです。その防御策の一つして、端末やネットワークなどの様々なデータを統合してAIで分析する「XDR」と呼ばれる対策がありますが、日本での導入は遅れており、大手企業でも導入していない対策を、ましてや我々中小零細企業が導入するなど考えられず、XDRの導入には多額の投資が必要な場合もあります。

また、以前も記載したクラウドサービス会社自体がサイバー被害を受け、その利用者が二次被害を受けるケースも増えており、何を信用してよいかわからない状況になっています。

中小企業ができることは、何か起きてしまった時の連絡体制を整え、人的、コスト的にも必要最低限の対策をすることが一番だと改めて思います。やはり保険とEDR(端末等の入り口の振る舞いや通信状況を監視するサービス)等を利用した専門家へのアウトソーシングが、中小企業にとっての最適なセキュリティ対策ではないでしょうか。


07/30 日経朝刊

社労士クラウド、重いサイバー被害 復旧遅れや顧問料減

先日起きた国内最大の社労士向けクラウドサービスが受けたサイバー攻撃の波紋が広がっているとのこと。社労士が顧問先の企業の社会保険料や給与を正確に計算できず、企業から顧問料の減額を迫られた例もあるそうです。

勤務時間や年齢情報がわからず、顧問企業の従業員の給与計算ができなくなったため、数百人いる従業員情報をエクセルにいれて計算してしのいだケースや前月と同じ給料を支払い、後日調整する措置をとった事務所もあるといいます。

また、6月は社労士にとっては繁忙期であり、長時間残業を強いられる社労士も少なくなかったそうです。

関係者によると、企業から顧問料の減額という事実上の賠償を求められた事務所も複数あるそうで、事故の余波はまだまだ続きそうです。

SaaSの普及でこうした大規模被害が今後も増えるとみられていますが、一般的にSaaS事業者は損害賠償などの責任を制限する条項を契約に入れているケースが多く、実際に今回のような被害を起こしても賠償金額は一定に留まる可能性が高いそうです。

一方で、サービス利用者とエンドユーザーの間ではそうした契約がない場合もあり、クラウドサービス利用者が一方的に賠償を負うことにもなりかねないとみられ、ソフトの提供業者と同じく責任を制限する条項をエンドユーザーの顧客と結んでおくことが望ましいと弁護士の山岡先生は指摘しています。

サービスを提供する側も利用する側もそれぞれ自分の身を守る必要がありますが、一番大事なことは、エンドユーザーが一番の被害者であるということを忘れてはいけません。大事なお客様を守るためにも、セキュリティ対策と体制づくりを見直していきましょう。


07/11 日経クロステック記事より

クラウド経由のソフト事業者を狙う攻撃、日本に到来か

最近のサイバーセキュリティ被害を見ると、クラウド経由でソフトウェアを提供するSaaS事業者を標的にするランサムウェアなどの攻撃が日本にも本格到来するのではないか、と筆者は見ているようです。

社労士向けソフトやエネルギー事業者向けソフトが立て続けに被害に遭っているのも根拠の一つで、一旦SaaS事業者が被害に遭うと、システム復旧を急ぐ作業に加え、多くの利用者からの問合せに対応する必用があり、復旧が遅れれば事業収益の機会も失われ、利用者への事業にも多大な影響を与えるため、身代金の支払いに応じる可能性が高いとして、攻撃対象になっているとのことです。

したがって、SaaS事業者が自身のサイバーセキュリティ対策やBCPを見直すことは当然のこと、利用者にも同様な対応が求められるとしています。

多くの企業を回っていると、誤解されている経営者や担当者の方が多いように思えます。それは、システム利用者・SaaS利用者はあくまで被害者であり、サイバー被害に関して責任はないと考えているということです。

当然、SaaS利用者は被害者であることは間違いありませんが、その企業に個人情報や機密情報を預けている顧客企業や個人が本当の被害者であることを認識する必要があります。

情報漏洩させられた企業や個人は、まずSaaS利用者に責任を求めてきます。

今回の社労士向けシステムの事故も、利用している多くの社労士事務所が顧客から説明を求められています。

結果として原因はSaaS事業者にあることが証明されたとしても、本当の被害者への説明責任はSaaS利用者にあることを自覚する必用があります。

サイバーセキュリティ保険には原因調査費用という項目があり、SaaS利用者として自社が原因企業ではないことを証明できる費用が捻出できます。サイバーセキュリティ保険でできることは多岐に渡りますので、ご関心のある方はぜひお問合せください。


06/13 日経朝刊

最新サイバー防衛、機能絞り安く

最新のサイバー防衛策を中小企業向けに安価に提供する動きが広がっているとのこと。

各大手セキュリティ企業は、セキュリティサービスの機能を絞ることで、脆弱性の診断やXDRと呼ばれるAIによる監視システム、コンサルタントサービス等を中小企業でも負担できる金額で提供し始めるそうです。

コストと人材不足に悩む私たち中小企業にとっては非常にありがたい話ですね。

しかしながら、実際に現場を回っている人間からすると、コストも当然大事ですが、それ以前にそんな安価なサービスに対してさえ、投資が後回しになるという中小企業のセキュリティに対する意識の低さをどれだけわかっているのかの方が重要だと考えています。

実際、私たちが取り扱っている中小企業向けの最新のセキュリティソフトでも月々750円〜、専門事業者や弁護士の紹介、コンサルティング対応までつき、フォレンジック調査、再発防止策等の費用を負担するサイバー保険の加入でも月々1万円〜。

すでに中小企業でもできる対策があるにも関わらず、その対策を広げ切れていない現状も理解する必要があると思います。

こうした新聞記事により、中小企業のセキュリティ意識の向上が図られることを切に願います。


05/21 日経産業新聞

供給網へのサイバー攻撃の備え

弊社も大変お世話になっている八雲法律事務所の山岡弁護士の記事。

サプライチェーン上の弱点を突くサイバー攻撃が相次いでいる。

サイバー攻撃の中でも特にランサムウェアが脅威になっており、近年、取引先やサプライチェーンへの攻撃を経由して被害が広がるケースが目立つとのこと。大企業が対策をしていても、取引先やサプライチェーン上の中小企業の対策は十分でない場合が多い。

セキュリティ対策の強化でサイバー攻撃を100%防ぐことは難しく、万一被害にあってしまった場合でも、その後の対応について事前に契約書で取り決めておくことも必要で、賠償責任や費用負担など、被害からの早期復旧のためにも平時から備えておくことが益々重要になっているとのことです。

このところ、大企業によるサプライチェーン全体のサイバーセキュリティ対策の記事をよく見ます。以前のようにサイバー攻撃の未然防止に軸足を置いたものではなく、攻撃を受けた場合の対応や復旧を重視する、より実践的な基準に切り替えているようです。

中小企業にとっても、セキュリティ対策のコストを取引価格に反映させる努力や、OSやソフトウェアの更新、VPNの2段階認証の徹底など、コストをかけずにできる対策もあります。

サプライチェーン全体での対策により、世の中のサイバーセキュリティに対する意識も変わってくれることを切に願います。


05/11 日経電子版

スマホ乗っ取り「SIMスワップ」で不正送金 警視庁摘発

警視庁は11日に他人になりすまして発行させたスマートフォンのSIMカードを使い、不正送金をした女性を、電子計算機使用詐欺などの疑いで逮捕したとのこと。

「SIMスワップ」という言葉を始めて知った方も多いと思いますが、携帯電話販売店で他人になりすましてスマホの番号を乗っ取る手口だそうです。

この「SIMスワップ」の被害が国内で目立ち始めており、注意が必要です。

次から次へと新たな手口が出てきて対策も大変ですが、そもそも携帯ショップでの本人確認については携帯ショップ側の責任であり、偽造免許証等が使われていることを考えると、本人確認方法も変えていかなくてはいけないと思います。

また、不正送金するためのIDやパスワードは、それ以前にフィッシングと呼ばれる偽サイトに誘導し情報を盗み取る手口で入手されているものなので、こちらは自分自身で対策を取る必要があります。

覚えのないショートメッセージやメールに関しては、開かずに削除が一番です。新たな手口の被害に遭わないよう、改めて注意していきましょう。


04/26 日経クロステック

経産省が経営者向けセキュリティ指針 供給網に重点

経産省が経営者向けのサイバーセキュリティ対策の指針「サイバーセキュリティ経営ガイドライン」を5年ぶりに改訂し、3月に公開したとのこと。昨今のサイバー攻撃の被害事例を踏まえ、サプライチェーンのセキュリティ対策についての言及が大幅に増えたようです。

経営者が認識すべき点として「デジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識」を挙げ、インシデント発生時の対応や事業継続の体制についてもサプライチェーン全体での観点を盛り込むよう求めています。

今後はさらにサプライチェーンを構成する中小企業にもセキュリティの体制整備が求められることが予想されますが、投資体力が限られる中小企業にとって費用負担は重くのしかかってきます。

いきなり大きな投資を求めることは現実的ではありませんし、実質不可能です。しかしながら、現状のセキュリティについて取引先全体で目線を合わせ、できることから行うことは必要です。そのためのガイドラインとしてIPAは「サイバーセキュリティ経営可視化ツール」を公開しており、このようなチェックリストを利用しながら少しずつでも対策を進めることが重要だと考えます。

 

このような状況の中小企業にとって、サイバー保険は少ない投資でインシデント時の対応をトータルでサポートできるセキュリティ対策の一つです。まだ未加入の企業様はぜひ1度検討してみてはいかがでしょうか。

 

経済産業省「サイバーセキュリティ経営ガイドライン改定

IPA「サイバーセキュリティ可視化ツール


04/12 番外編

2023年3月のサイバー事故関連ニュース

2023年3月の不正アクセス関連のみ(発表されたもの)

 

03/01 室蘭工業大学にて複数端末の「Emotet」感染

03/01 帝国データバンクがサイバー攻撃によるネットワークの異常を確認

03/02 生地通販サイトに不正アクセス

03/03 コーヒー通販サイトでクレカ情報流出

03/06 日本原燃関連会社でマルウェア感染

03/07 ドレスレンタルサイトでクレカ情報流出

03/08 オーディオテクニカがランサム被害

03/13 石巻地域広域行政事務組合がランラム感染

03/14 沼尻産業のファイルサーバーがランサム感染

03/15 「DeNA新卒採用」のTwitterアカウントが乗っ取り被害

03/16 放送映画製作所のサーバーがランサム被害

03/20 古川電池の従業員PCが「Emotet」感染

03/23 「TRINUS STORE」でクレカ情報流出

03/23 富士通のネット接続サービス、8ヶ月以上にわたり侵害

03/27 ベビー用品サイト不正アクセス被害

03/29 コスメ通販サイトに不正アクセス

03/30 食品包装メーカーの基幹システムがランサム被害に

03/31 東大研究機関が標的型攻撃メールによりマルウェア感染

03/31 NTTドコモの顧客情報最大約529万件が流出した可能性

(セキュリティ情報を発信しているHP「security next」から参照させて頂きました)

 

これらは不正アクセス関連で発表されたものだけになります。おそらく未発表の事故やご送信、紛失等の人的ミスによる事故含めるとかなりのインシデントが発生していることがわかります。

引き続き情報発信してまいります。


03/29 日経朝刊

大阪の病院、同一のパスワードで感染拡大 電子カルテ、サイバー被害

昨年10月にサイバー攻撃を受けた大阪急性期・総合医療センターから被害原因の調査結果が公表されました。電子カルテシステムのサーバー、端末を共通のパスワードで管理していたことが判明し、それが取引先経由で侵入したランサムウェアの急速な感染拡大の要因になったとのことです。

また、報告書によると調査・復旧費用で数億円以上、診療制限に伴い十数億円以上の被害が見込まれるとのことで、大変な被害だったことが想像されます。

報告書には事細かく記載がありましたが、簡単にいうと本来やるべき対策をしていなかったことが全てであり、セキュリティ対策として大きな投資が必要なわけではなかったということです。

パスワードの使い回し、機器の脆弱性の放置、権限管理の不備、閉域網の盲信によるウイルス対策ソフトの不備等々。

本来助言するべき立場のベンダーによってパスワードの使い回しが推奨されていたようにも受け取れる内容もありました。

電子カルテベンダーによるフォレンジック調査もあったようですが、被害の原因にもなったベンダーがフォレンジック調査でも報酬が取れる仕組みは甚だ疑問です。

再発防止策として、パスワードの使い回しを始めとした運用上の問題の改善、ベンダーとの責任分岐点の明確化等々、特に追加のコストが必要なものは見られませんでしたが、私どもでも提供している「EDR」と「SOC(Security Operation Center)」の有用性は明記されていました。

EDR+SOC+サイバー保険というセキュリティ対策は、非常に安価で入口対策から万一の事故時の初動対応・調査、費用の問題までトータルに対応できるサービスです。

改めてご検討頂ければ幸いです!


02/23 日経朝刊

サイバー攻撃被害、株価戻り鈍く 対策がESGの評価軸に

サイバー攻撃の手口が巧妙化するにつれて、投資家が企業のセキュリティ対策に厳しい目を向け始めているとのこと。致命的な情報漏洩やシステム凍結などが企業の存続を揺るがす事態に発展しかねないからだそうです。

現在投資の評価軸においてESGが重視されていますが、「C(サイバーセキュリティ)」対策を新たな評価軸に加える動きが広がっているようです。

日本の上場企業においても、サイバー攻撃による株価の下落は顕著に見られます。被害回復や新たな対策のための費用が、その後の業績に与える影響にも懸念が強まり、サイバー攻撃発表後の株価の反応が鈍くても、被害額発表後に急落するケースもあります。

ESG投資は企業の持続可能性の観点から広まっていますが、投資家達はセキュリティ対策の甘さによる事業継続リスクにも厳しい目を向け始めたといえそうです。

企業は巧妙化するサイバー攻撃の被害者とはいえ、そのリスクを予想し対策をたてていたかどうかが厳しく問われるようになっています。

各企業は自然災害やPL、事業者の賠償責任等、自分たちがイメージしやすいリスクへの対策を取っていると思います。サイバーリスクへの対策が遅れている理由は、それが自社へ与える損害リスクをイメージできていないからでしょう。

サイバーリスクを可視化し、リスクに備える。費用面の対策として、もっとも有効なのが保険だと考えています。

引き続き、目に見えないリスクをイメージできるように啓蒙活動を続けてまいりたいと思います。


02/15 日経朝刊

機密扱う資格、対象者限定

首相、法整備へ検討指示 安保巡り他国と足並み

 

政府が安全保障に関わる機密情報を扱える人を認定する「セキュリティ・クリアランス」の具体的な制度設計に入ったとのこと。

セキュリティ・クリアランスは主要国にはすでに制度があり、米国・英国・カナダ・オーストラリア・ニュージーランドで構成される「ファイブ・アイズ」は同様の制度を整えて連携を深めるもので、今回の我が国における制度整備がファイブ・アイズとの協力基盤になり得るものだそうです。

安全保障上もビジネス上も、相手から信頼される情報保全の制度は当然必要だと思いますし、センシティブな情報を扱える人間を事前に認定するという行為は信頼関係の構築には必要な作業だと私は考えます。

しかしながら、この制度の導入には反対意見もあり、個人の犯罪歴や財産の確認等、個人情報をどこまで調べ上げるのかプライバシーの観点からの懸念もあるようですが、サイバーセキュリティ対策における情報共有も、日本にセキュリティ・クリアランスの制度がないため、世界から取り残されている状態です。

知る権利もあれば、知られちゃいけない安全保障上の問題もあり、またクリアランスの資格を付与する側の調査は誰がするのか…等、課題はたくさんあるとは思いますが、これだけ情報の重要性が高まっている現在、世界と対等に戦っていくための制度は早急に検討すべきでしょう。

皆様はどうお考えでしょうか?


02/03 日経朝刊

ランサム攻撃、手口悪質に 盗んだデータ、一般ウェブで暴露

「劇場型」で身代金要求

 

企業に金銭の支払いを要求するランサムウェア攻撃の被害が、2022年は前年比6割増となったとのこと。

被害拡大だけではなく、盗んだデータを誰もが閲覧できるウェブサイトで暴露するなど手口が悪質化しているそうです。

ランサムウェアは今や二重脅迫、三重、四重脅迫が当たり前になっていますが、従来のデータの公開先は匿名性の高いダークウェブが中心でした。

これに対して、22年後半に登場したものが、通常のウェブサイトに情報を掲載するもので、顧客や一般の人にも閲覧が可能なため、信用を落とす手法として新たに支払いを迫る手口となっています。

積極的に拡散させて企業のレピュテーションを傷つける『劇場型』の暴露手法が拡大しており、ハッカー自身が被害企業の取引先に直接連絡を取ることも。中小企業にとっては取引自体にも影響を与えるもので、決して他人事ではありません。

残念ながらサイバー攻撃を100%防ぐことはできません。そのために、平時からどのような対策をとっているかが益々重要になっており、万一の時にも取引先が納得するサイバーセキュリティ対策が必要です。ただお金をかけるだけではなく優先順位を定め、自社と取引先を守るために何ができるか今一度考える必要があります。


01/24 日経朝刊

IoT製品の防衛、専門部署で即応 脆弱性を厳密管理

IoTを組み込んだ製品などのサイバー攻撃対策を一元管理する部署の設置が、大手企業を中心に進んできたとのこと。

自動車や医療機器で販売後の製品でも、脆弱性の厳密な管理を求める国際基準ができたことが背景のようです。

「PSIRT」と呼ばれるプロダクトのためのインシデントレスポンスチームが設置され、サイバー攻撃に繋がる脆弱性の管理や、修正ソフトの配布、対策の呼びかけ等、対応策を決定していくそうで、こういった組織づくりは今後益々広がっていくものと思われます。

メーカーに取ってみれば、製品上の欠陥はPL法に抵触します。今やサイバーセキュリティに関する脆弱性も、製品上の欠陥と捉えられ、賠償訴訟に発展する可能性もあり、品質保証部や製品開発部だけの問題ではなく、組織としてサイバーセキュリティに対応する必要性が増しています。

中小企業にとってみても、セキュリティ対策をさらに求められることが予想され、脆弱性対策がなされていない部品は使わないという状況も出てくることでしょう。

まずはできる対策から手をつけていくことが必要です。


01/13 番外編

2023年、年初からのサイバー事故(主にニュースになっているもの)

新年明けましておめでとうございます。本年も、どしどしサイバー関連の記事をアップしていきたいと思ってます。

早速ですが、2023年を迎え早くも2週間近く経ちました。この間に起きたサイバー事故をピックアップしてみたいと思います。

01/05 農業従事者の関連書類、庁舎内で所在不明に。ー兵庫県某市

01/05 渋谷区公式サイトで閲覧障害。ハッカー集団「アノニマス」が関与か。

01/06 医療従事者向け求人サイトにサイバー攻撃。

01/06 宅食サービス会社がランサム被害ー顧客情報流出の可能性も。

01/06 胃がん検診票が所在不明、郵便局に受領データなし。ー神奈川県某市

01/10 健保組合向け管理システムでダウンロード権限の設定ミス。

01/10 解約元帳やローン借入申込書など誤廃棄の可能性。ー某信金

01/11 アンケートフォームで設定ミス、個人情報が閲覧可能に。ー大阪府某市

01/11 教育委員会認定の論文が所在不明に、郵送過程で。ー大阪府

01/12 メール誤送信でマラソン参加者のメアド流出ー某新聞社

01/12 保険会社2社の業務委託先より顧客データ約200万件が流出、サイバー攻撃で。

01/12 メールサーバ管理者アカウントに不正アクセスー彩の国さいたま人づくり広域連合

01/12 ショップチャンネルで不正ログイン注文

01/13 市立45校のサイト更新用アカウントが改竄被害ー茨城県某市

01/13 英語検定試験「TOEIC」の申込みサイトに大量のログイン試行

(セキュリティ情報を発信しているHP「security next」から参照させて頂きました)

この2週間で、サイバー攻撃だけではなく、情報漏洩事案がこれだけ発生しております。以前は発表することがなかった事案も、昨年の改正個人情報保護法の施行で、報告が義務化となり、これだけの情報漏洩事案が公表されるようになりました。

これらはほんの一部だと思われます。

こうした事故にも少し注意を向けると、毎日のようにニュースになっている事実がわかります。

被害を少しでも減らしていくために、本年も引き続き情報発信してまいりたいと思います。


12/02 日経朝刊

「個人情報漏洩 3倍」4〜9月 中小、報告・調査 負担に

2022年4〜9月の個人情報漏洩事案が前年同期の3倍にものぼっているとのこと。大きな要因が4月の個人情報保護法の改正で、報告が義務化されたことによるものだそうです。

中小企業へのサイバー攻撃が急増する中、その報告のための調査費用も数百万かかることもあり、負担が大きく、制度の知名度もまだ低いため、違法状態が放置されているケースも多いそうです。

違反が続く場合には1年以下の懲役又は100万円以下の罰金が科され、最悪の場合、最高で1億円の罰金刑となります。

被害範囲や原因調査のためのフォレンジック費用は数百万から数千万かかるケースもあり、中小企業が費用を捻出するのは容易ではないとの指摘もありますが、攻撃の調査をしない限り同じ被害に遭うケースも想定されるため、中小企業にとっては大きなリスクになっているともいえます。

このような費用をカバーするための対策の一つが「サイバーセキュリティ保険」です。

調査費用だけではなく、法務対応・外部対応等に必要な費用もカバーでき、調査や再発防止対策を依頼するベンダーの紹介サービスまで付帯しており、中小企業のサイバー費用リスクにトータルに対応できる設計になっています。

弊社では保険代理店として、お客様の立場で対応のアドバイスができる体制を持っていますので、お気軽にお問合せ下さい。


11/14 日経夕刊

「サイバー攻撃が一段と巧妙化」 「侵入前提」の対策導入進む

サイバー攻撃は一段と頻度が増し、手口も巧妙化しているとのこと。政府や企業も攻撃を完全に防げないことを前提に、被害を最小化する道を探っているとの記事。

リモートワークが進み、PCやスマホなど「エンドポイント」と呼ばれる機器が外部ネットワークに直接さらされる状態になり、一層サイバー攻撃で狙われやすい状況になっています。また、企業のサプライチェーンでセキュリティ対策が不十分な企業への攻撃を契機に被害が広がるという例も増えています。

以前は境界型防御が主流でしたが、今や外部ネットワークとの境もなくなり、従来の対策のままだと一旦内部に侵入されると無防備な状態を好き放題荒らされてしまう状況に陥ってしまいます。

そこで最近ではマルウェア感染の温床となりやすいPCやサーバーなどの機器の監視を重視する「EDR」という手法の導入が進んでいるとのことです。このEDRは政府が昨年改定したサイバーセキュリティ対策のガイドラインにも新たに盛り込まれました。

EDRはマルウェアが内部ネットワークに侵入することを前提とした対策であり、AIやセキュリティアナリストが常時、監視・検知・対策を行ってくれるサービスで、特に人材不足に悩む中小企業でも広がりを見せています。

弊社では、この「EDR」とともに、実際インシデントが発生した時に必要な調査や法務対応、再発防止のためにかかる費用を負担するサイバー保険のトータルな提案で、中小企業や医療機関を守っていきたいと考えております。


11/01 日経朝刊

「災害拠点病院で診療停止」 大阪、大規模障害 サイバー攻撃か

大阪府立病院機構が運営する大阪急性期・総合医療センターで電子カルテシステムに大規模な障害が発生、緊急以外の手術や外来診療が停止してしまったとのこと。ランサムウェアによるサイバー攻撃を受けたとの発表もありました。

昨年の徳島県つるぎ町立半田病院へのサイバー攻撃は記憶に新しいところですが、さらに大規模な被害に発展すると見られています。

医療機関を狙ったサイバー攻撃は近年非常に増加していますが、大阪府唯一の災害拠点病院でのこの事故は大きなインパクトがあるニュースとして報道されています。

病院のシステムは新しくするタイミングが難しく、今回もセキュリティ対策の穴をついた攻撃によるものだと思われます。VPN機器の脆弱性やPCやサーバー経由からなのかは、今後の詳細な調査で明らかになると思いますが、事故は100%防ぐのは難しいこととはいえ、実際のセキュリティ対策がどの程度までなされていたのかは、病院の経営責任にも発展する可能性もあり、大阪府立の医療機関ということで、知事やその他関係者も他人事ではない事故といえます。

半田病院の事故報告を、他の各医療機関のセキュリティ担当者がどこまで自分事として捉えていたのかも重要な点だと考えます。

過去の事例と同じ事の繰り返しでは、何のための事故報告書なのかわかりません。

一刻も早い復旧を願いたいものです。


10/17 日経朝刊

「契約書も『サイバー防衛』」

サイバー攻撃を受けた際の損害賠償や調査費用の負担について、事前に取引の契約書に盛り込む例が増えているとのこと。サプライチェーンを狙った攻撃が増える中、サイバー被害に関する負担や責任について企業間のトラブルに発展し、それが二次被害に繋がりかねません。

契約書にサイバー攻撃を考慮した条項を盛り込みたいという相談も増えているようで、サイバー攻撃が原因による取引先への損害賠償の上限を定めたり、攻撃を受けた際の報告義務を課すものが多いようです。

しかしながら、未だにサプライチェーン全体での対策は遅れており、問題が起きてからトラブルになるケースも想定されます。

サイバー攻撃を自社が受けた場合と取引先が受けた場合の両方を想定することが必要で、サイバー攻撃自体を不可抗力の事態として示すことで、免責される可能性もあるようです。

サイバー保険への加入も必要なセキュリティ対策の一つとして記事には取り上げられておりますが、まだ加入率が10%以下という状況がセキュリティ対策の普及が進んでいない現状を現しているように思います。

サイバー保険に関しては、上場企業から中小企業まで幅広い実績を持つ弊社に一度ぜひご相談ください!!


10/03 日経朝刊

「国内インフラ877ヵ所に穴」 水道・電力 危機感薄く

情報漏洩・制御失う恐れも

水道や電力の社会インフラのうち少なくとも877ヵ所でサイバー攻撃の被害に遭うリスクが高いことが日経の調査で分かったとのこと。排水ポンプを止めたり、再生可能エネルギー施設の警報を切ったりと、基幹インフラが直接攻撃を受ける可能性が高いそうです。

5月に経済安全保障推進法が施行され、基幹14インフラに対しセキュリティ強化を義務づけましたが、実際の現場ではまだその意識は薄く、ほとんどの施設で脆弱性への認識がない現状が浮き彫りになりました。

センサー関連や太陽光におけるパワコン等、中国製製品を使っているケースも多く、日本の脆弱なインフラ企業の情報を共有されるケースも増えているとのこと。また、小規模な金融機関等もターゲットになっているようです。

今や各インフラの監視も遠隔で操作され、ネットの利用が前提になっています。しかしながら、太陽光発電事業者のサイバーセキュリティに対する意識は未だ低く、他人事と考えている企業も多数見受けられます。

今後は小規模太陽光事業者への対策も強化されることが予想されますので、お困りの方はお気軽にお問合せ下さい。


9/24 日経朝刊

「ランサムウェア『変異型』倍増」 迅速な情報共有カギ

ランサムウェアの変異型が猛威を振るっているそうで、ウイルス対策ソフトをすり抜けてしまうので防御が難しく、被害が膨らむ要因になっているとのこと。「報奨金を支払う」としてウイルスの強化を募る攻撃グループも増えてきており、防御する側の情報共有の重要性が増しそうです。

今や「RAAS(ランサム・アズ・ア・サービス)」と呼ばれるサービスが普及しており、サービスの利用で誰でもランサムウェアによる攻撃が可能となっています。

変異型ウイルス対策として、比較的安価な「EDR(ウイルス検知・駆除サービス)」と「保険」は有効な対策です。弊社では最新のソフトと情報提供を行っていますので、お気軽にお問合せ下さい。


9/21 日経朝刊

「防衛装備、調達基準厳しく サイバー対策追加要求」 来年度から、攻撃後の対応・復旧見極め

防衛装備庁が2023年度の契約から調達基準を厳格にし、取引先企業にサイバー攻撃を防ぐ対策だけではなく、攻撃後の被害拡大防止やその後の対処能力も求めるようになるとのこと。従来もサイバー対策は入札の条件でしたが、「防御」が中心で、攻撃後の「検知」や「対応」「復旧」といった取組も必要になってくるそうです。

今回は特に、国防に直結する防衛産業向けですが、今後は他の業種の入札にも影響を与えてくることは間違いないと思われます。

どの業種もDX化が進み、製造段階でのハッキングの恐れもますます増えてきます。

2021年には米国のIT企業「kaseya」社がランサムウェアの被害に遭いましたが、同社の提供するソフトウェアの脆弱性により、サプライチェーン全体に被害が及びました。

IT企業はもちろんのこと、あらゆる業種で同様の事故が起こる可能性があります。サイバー事故の「検知・対応・復旧」対策でお困りの際は、全国対応の専門ネットワークを持つ弊社にお気軽にお問合せ下さい。


9/08 日経朝刊

「サイバー攻撃 4省庁影響」 親ロ派ハッカー、続行宣言

政府が運営する電子サイトが一時閲覧できなくなり、親ロシア派のハッカー集団「キルネット」が犯行声明を出したとのこと。この「キルネット」はハクティビストと呼ばれる政治的主張をサイバー攻撃により展開している集団で、今後も日本をターゲットとすることをSNS上で表明しています。

攻撃対象には政府サイトだけではなく、「ニコニコ動画」「JCB」「メトロ」等馴染みの深い企業の名前もあり、より一層日本の企業への脅威が増していると思われます。

攻撃手法は主にDDoS攻撃と呼ばれる処理能力を超えるデータを大量に送りつけ、閲覧できなくする古典的な攻撃ですが、防御するにはインターネットサービスプロバイダー等の協力も必要で、トータルなセキュリティ対策が必要になってきます。

このような記事は中小企業にとっても決して他人事ではなく、ぜひ自社のセキュリティを見直すきっかけにしてもらいたいものです。


8/27 日経朝刊

「社員パスワード、6割脆弱」 推測容易、瞬時に解析

日本の主要企業の社員が設定するパスワードの多くが脆弱なものであったとのこと。漏洩したパスワードの64%が推測されやすいパスワードだったそうです。PC利用者の半数近くはパスワードを使い回している現状の中、企業が強制的に複雑なパスワードを設定しても、使いづらいとして嫌う社員も依然として多いようです。

PW「12345」は瞬時に解析、「ランダムな英数字10文字」で7ヶ月、「ランダムな英数字22文字」で解析まで13兆年かかるそうです。

使いやすさとセキュリティ対策は反比例しますが、昨今のサイバー攻撃の増加を鑑みると、不便さを許容することも仕方ないことかと思われます。メールでワンタイムパスワードも利用する2要素認証の導入も進んでいるようですが、これらも完璧ではなく、実際通信会社から漏洩した事件もありました。また2要素認証に頼り切って、パスワードを単純にする社員もいるそうで、弊害も指摘されています。

利便性と安全性を確保するための対策には終わりがありませんね。


8/26 日経IT

「国内企業のデータ侵害費用、5億6000万円」

民間会社の調査によると、サイバー攻撃などによるデータ侵害事案の2022年度の国内での平均対応費用が5億6000万円だったというもの。費用の内訳が「デジタルフォレンジック」や「脆弱性診断」が2億500万円、次いで「補償等」が1億6500万円、「事業中断や機会損失」が1億6000万円と続く。「当局や第三者への通知」が3000万円とのこと。

データ侵害の検知まで195日間、封じ込めには75日間かかっており、侵害に半年以上気づかないケースも多く、検知が遅れれば深く侵入され被害も拡大します。

億単位の費用がかかっているという結果は、主に大手企業対象の調査だと思われますが、中小企業でも数千万円の費用がかかるケースは多く見られます。フォレンジック調査にかかる費用が相当なため、調査会社も企業の支払い能力を見るケースも増えており、保険への加入の重要性が増しています。

ぜひ、サイバーセキュリティ対策をお考えの企業様は、この機会にサイバーセキュリティ保険をご検討下さい。経験豊富なスタッフが対応致します。


8/24 日経朝刊

「クラウド時代 安全支える」 普及急速、対策待ったなし

クラウド利用時の安全性を高めるスタートアップ企業のサービスが相次いでいるとのこと。

クラウドを使う企業が急速に増えていますが、クラウドは安全という思い込みからセキュリティ対策が不十分な企業が多いそうです。

「AWS」や「グーグルクラウドプラットフォーム」等が普及していますが、あくまでクラウドは金庫のようなもの。それを扱うのはあくまで人で、金庫を開ける鍵の管理はしっかりする必要があります。

政府はサイバーセキュリティ対策は経営陣の責任として位置づけており、クラウドを含む対策は待ったなしの状況です。

しかしながら、中小企業にとってはクラウドのセキュリティ対策まで至っていないのが現状であり、まずはできる対策から手をつけることが重要です。

どこから始めてよいか悩んでいるようであれば、弊社までお問い合わせ下さい。


8/20 日経朝刊

「供給網、サイバー防衛急ぐ」 中小取引先にも抜き打ち検査

部品会社などでサプライチェーン(供給網)へのサイバー攻撃対策を強化する動きが広がっているとのこと。抜き打ちで取引先の脆弱性を検査する依頼も2021年の2倍に増えているそうです。トヨタ自動車の工場停止をきっかけに対応が加速しており、大手製造業の1〜2次の比較的大きな取引先で実行するケースが多く、数百社を調査する例もあるとのこと。

公開されている技術を使って調査しているため、事前の許可はいらず、すでにアメリカでは商習慣として定着しており、抜き打ち検査の結果によっては大手から取引を打ち切られることも。日本でもこうした手法が広がる可能性があるそうです。

攻撃が狙われるのは対策が進んでいない中小企業で、エモテットも主たる被害は中小企業であり、大手企業自らが検査に乗り出す動きが加速しています。

こうした対策に大手が乗り出すというニュースは、セキュリティが遅れている中小企業にとっては経営リスクにも直結します。

まずはできること、

1.事故時の対応マニュアルの策定

2.平時のセキュリティ教育

3.タイムリーに事故を把握するためのソフトの導入(EDRやMDR、UTM等の検討)

4.対応資金確保のための保険

これらの対応から見直していきましょう。

弊社では全ての相談に応えるネットワークを持っておりますので、お気軽にお問合せ下さい。


7/28 日経朝刊

「海外拠点サーバーに「穴」」 国内企業の7割攻撃リスク

〜古いOS放置 解消急務〜

企業が所有するサーバーにサポート切れの古いソフトウェアが使われ、脆弱な状態になっているとの記事。売上高1000億以上の企業の状況(無作為に選んだ50社)だそうです。特に海外の脆弱なサーバーが狙われ、社内ネットワークに侵入される被害が続いているとのこと。サイバー攻撃に使われるプログラムも闇サイトで売買され、3割以上が上記のような古い脆弱性を狙うためのプログラムだそうです。

今回の記事は大企業を対象にした内容ですが、中小企業でIT資産の管理が行き届いていない企業も多数存在し、サポート切れしたOSを未だに利用しているケースもたくさんあるように思われます。

サイバー攻撃が激増している今、一度全ての資産を洗い出し、必要な部分は専門業者に任せるなど対策を取ることが重要です。まずは自社でできることから始めて行きましょう。


7/15 日経朝刊

「メール攻撃、変異型で復活」 欧州摘発の「エモテット」

メールを通じ拡散するマルウェア「エモテット」が復活し、今や20年比3倍に。PCからクレジットカード情報も盗む「変異型」も出現という内容。

従来はメールソフト内のアドレスの搾取が主だったものが、変異型によりクレジットカード情報を盗む高度なものに進化しているそうです。ファイルを開封させるために内容もより巧妙になり、企業ロゴや署名を使って本物とほとんど見分けがつかない内容になってきております。

日本は未だに添付ファイルのマクロ機能を安易に実行することが多いため、海外より被害に遭うケースが多く、集中的に狙われているようです。トレンドマイクロ社の調べではエモテットの攻撃の約81%が日本を狙ったものとのこと。

変異型で感染が再爆発しているのは、コロナと非常に似ている状況です。

無料で簡単にエモテットの感染の有無を調べられる「EmoCheck」というソフトもありますので、まずは自分のPCを調べることから始めましょう。

https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/emotet.html(警視庁HPより)


6/27 日経朝刊

「対策過信で時代遅れ、格好の餌食に」

日本のサイバーセキュリティが世界から取り残されているという記事。セキュリティベンダーへの丸投げ、オフラインへの過信、無防備な中小企業へのサプライチェーン攻撃。思考停止の企業は格好の餌食となる、という内容。

まさにこれらの内容は、私たちが1年以上前から伝え続けたことです。企業の存続にもかかわる大きなリスクを第三者へ丸投げして、うちは大丈夫と言っている企業の多いこと・・・。

事が起きてからではすでに手遅れになるほど、大きな被害につながるサイバー攻撃。

専門家に任せる部分と自分で対応できる部分を明確にし、人任せにしない体制づくりと迅速な経営判断が必要になってきています。

今後も弊社では地道な啓蒙活動とともに、中小企業のセキュリティレジリエンスを高める発信を続けてまいります。


6/15 日経朝刊

「トヨタ工場停止「ロビンフッド」が関与」

 2022年3月1日にトヨタ自動車の国内全工場が稼働停止した問題で、攻撃を仕掛けたのは「ロビンフッド」と名乗るハッカー集団だったとのこと。攻撃を受けたのはトヨタのサプライチェーンの1社で小島プレス工業。

約6万社あるトヨタのサプライチェーンが、たった1社に対するサイバー攻撃で、1万3000台の生産停止に追い込まれる事態になった事故は、大手製造業だけではなく中小零細企業のサプライチェーンにもかなりのインパクトのある事故だったと思います。

これを教訓に、地域の中小企業のサイバーセキュリティに対する意識も変わっていくことを期待していましたが、実際に現場を回ると「トヨタさんだから・・・」「うちは外部に任せてるので大丈夫・・・」等々、あまり変わっていない現実も見られます。

自社の対策の遅れが他の多くの企業にも影響を与える可能性があることを、御社はどの程度理解されていますか?


6/8 日経朝刊

「徳島のサイバー被害病院 システム提供側 不備」

 2021年10月にサイバー攻撃を受けて、患者約8万5千人分の電子カルテが閲覧できなくなった徳島県の半田病院。この度、有識者会議による調査報告書が示されました。その内容は、電子カルテシステムを提供する企業側の対応の不備を指摘したとのこと。脆弱性を説明せず、ウイルス対策ソフトも運用上の理由で稼働させない設定にしていたそうです。

小規模な病院に限らず、中小企業にはセキュリティ対策を外部に頼らざるを得ない現状があります。中小企業の経営者や担当者と話すと「うちは外部に任せてるから大丈夫です。」という答えも未だ非常に多く、ベンダー任せの現状が浮き彫りになっています。

今回の半田病院のように、実際事故が起きた時に責任を追及されるのは委託している側の病院や企業であり、ベンダーは事故の補償は基本的にしてくれません。

企業の存続に関わる経営リスクを、外部に丸投げして安心しているこの現状は非常に危険であり、基本は自社のリスクは自社で対策する義務があると考えます。そこで必要なことは、迅速な事業復旧のための体制づくりであり、そのための資金確保だと考えます。
弊社では、ワンストップでこれらの対策にお答えできますので、お気軽にお問い合わせください。


5/29 日経朝刊

「大規模病院 サイバー攻撃」被害相次ぐ 3分の2で情報漏れも

病院へのサイバー攻撃が相次いでおり、国内の大規模病院3ヶ所がハッカーから侵入された可能性が高く、他に大型病院100ヶ所の情報を闇サイトで調べたところ、3分の2の病院で職員のパスワードが漏洩していたとのこと。

日本の病院は依然として、基幹システムを外部と遮断している•••との主張により対策が遅れているところがほとんどだと見受けられます。電子カルテ等のHIS系のシステムはオフラインだから大丈夫と言い張る病院も非常に多く見られます。実際のところ、メンテナンス時のVPNの遠隔接続だったり、地域医療連携ゲートウェイであったり、ネットワークに繋がるタイミングで感染する事例が非常に多く、その認識の甘さが医療機関の被害の増加に繋がっているように思います。

弊社も医療機器ディーラーと連携しつつ、啓蒙活動を続けながら、セキュリティ対策の必要性を引き続き訴えてまいります!


5/16〜18 日経朝刊

「解明コンティ 身代金ビジネス、まるで会社」他

世界最大級のサイバー犯罪組織「コンティ」。親ウクライナのメンバーから漏洩したチャットから組織の構造が浮き彫りになったとのこと。

リーダー(社長)が各担当メンバーに指示をし、人事、教育、渉外・広報、新事業開拓、中間管理からは実行部隊、開発、調査、解析と企業顔負けの体制を構築しています。

それぞれの専門職が日々セキュリティを研究し、その上をやってくることを考えると、どこまで対策をしても終わりはありません。

ただ、どの企業も内部から崩壊していくもので、お金が絡むと不平不満も溜まっていき・・・

そうなることを期待して、今できるセキュリティ対策を取ることが一番大事だと感じます。


5/11 日経から

「しまむら、システム障害 大型連休中にサイバー攻撃」

大手衣料販売のしまむらが大型連休中にサイバー攻撃を受けていたとのこと。

社内ネットワークへの不正アクセスによるシステム障害で、商品を店舗に取り寄せるサービスが停止しているようです。被害状況は調査中であり、情報の流出は確認されていないとのこと。

長期休暇中は脆弱性情報には疎いもので、そこを攻撃者は狙っているとの話もあります。実際、ソフトウェア等のアップデートが行われていない状態で休み明けを迎えるPCやサーバーは要注意です。システム管理者の方への負担も想像を絶します。。。

そんな状況には、端末やサーバーを24時間365日遠隔監視してくれる「EDR」等の最新型のセキュリティ製品の検討が負担を減らしてくれる一つの方策ではないでしょうか。


4/29 日経IT記事から

「法人3割が個人情報流出、過去1年で」

 セキュリティ大手トレンドマイクロ社の調査によると、国内の3割の事業者が個人情報流出の問題を起こしているとのこと。

原因としては、「従業員や委託先による不慮の事故」が49%で最多、「従業員や委託先による故意の犯行」39.1%、「外部からのサイバー攻撃」32.5%と続く。

4月の個人情報保護法の改正で当局への報告が義務化され、企業にとっては無視できない大きな経営リスクとなっていますが、この改正自体を把握していない企業が約2割で、報告先機関の明確化や報告担当者の明確化をしている企業は半数に満たない現状。本人への報告手段を明確化している企業にいたっては3割弱と、企業の認識不足が顕著になっています。

御社ではセキュリティ対策と教育、及び事故対応の体制づくりは明確化されていますか?


5/2 日経朝刊 私見・卓見から

「企業統治指針にサイバー防衛を」

 IT企業創業者の方の投稿記事。

日本の大企業においてもセキュリティ責任者(CISO)の設置推奨の動きが最近は見られるようになったが、経営トップが取り組む流れにはなっておらず、専門家に任せれば良いという認識である、と。

社員教育の重要性は語られますが、まずは経営者自身の自覚を促す必要があるとのこと。コーポレートガバナンスにサイバーセキュリティの重要性を明記することが望まれる時代になってきました。


4/27 日経MJ記事

「カード不正対策はサイバー版『手洗い・うがい』を」

クレジットカードの不正利用。2021年は330億円余の被害額で、過去最悪だったそうです。

フィッシング詐欺とサイバー攻撃が大きな要因で、特に最近のサイバー攻撃の増加で拍車がかかっているよう。

私たちの出来ることは、怪しいサイトに近づかないことですが、それでも騙されてしまうもの。

新型コロナウイルスの感染拡大で「手洗い・うがい」が当たり前になっていますが、サイバーセキュリティに関しても金融庁が提唱する「サイバー・ハイジーン(衛生)」を浸透させることで、個人一人ひとりの意識を高めることが重要だと感じています。


4/27 日経クロステック記事

「カシオ、グループ1万人が即『脱PPAP』」

カシオ計算機がメールにZIPファイルを使ったやり取りを禁止したという記事。

PPAPとはメールにZIPファイルを添付し、複合用パスワードをメールで追送するファイル共有手法のことです。

本来利便性が高いものを使えなくしてしまうサイバー攻撃。エモテットによる被害が、こうした決断に至った背景のようです。

高いリテラシーを保つためには企業としてセキュリティの体制づくりが重要になってきます。


4/26 朝刊

「技術防衛 中小の体制強化」

経産省は先端技術や顧客情報が海外に流出するのを防ぐための中小企業の情報管理体制を強化するとの記事。
サプライチェーンからのサイバーアタックが増大している今、国が主導して取り組むことは非常に重要なことだと思います。
大手の取引基準にも組み込まれる可能性もあるとのこと。
認証取得の支援も弊社で行っていますので、お気軽にお問い合わせください。