サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ第2回は、ランサムウェア攻撃グループ「Qilin」による攻撃の経緯と影響を解説します。被害状況を整理し、企業が得られる教訓と、サイバーレジリエンス強化のポイントを示します。

アサヒグループへの攻撃事例

2025年9月、日本を代表する食品・飲料メーカー、アサヒグループホールディングスは、ランサムウェア集団「Qilin（キリン）」の大規模サイバー攻撃の被害に遭いました。これにより、同社の統合システムが停止し、受注や出荷だけでなく、会計や人事、顧客対応までが全面的に麻痺しました。新商品の発売延期や決算発表の遅延、数カ月単位のビジネスインパクトが現実となり、日本社会にもサイバーレジリエンスと情報セキュリティの再認識を促す事態が生まれました。

ランサムウェア攻撃グループ「Qilin」の特徴

Qilinはロシア語圏を拠点とするランサムウェア集団で、2022年に「Agenda」から改称・拡張した犯罪組織です。2025年だけで700件超もの犯行声明を出し、暗号化ツールや恐喝サイトを第三者に提供する「 RaaS（Ransomware as a Service）」モデルを主力に展開。技術力に乏しい攻撃者でも、サービスとして提供される攻撃ツールを利用して、企業システムへの侵入・データ窃取・身代金要求が可能となりました。今回のアサヒグループへの攻撃では、財務情報や従業員の個人情報を含む9300ファイル以上、計27GB超の機密データを盗んだと主張しています。

攻撃の手口については公式発表では明らかにされていませんが、一般的にランサムウェアでは、以下のような経路が考えられます。フィッシングメールやVPN脆弱性の悪用、認証情報の窃取から正規アクセスの確立、そしてシステム内へのラテラルムーブメント（水平展開）です。特にQilinは二重脅迫型で被害企業に身代金の支払いを強く迫り、支払い拒否時には盗んだデータの公開や発注先・顧客への連絡まで講じる、三重・四重の多重脅迫へと進化しています。バックアップの破壊、サプライチェーンや経営層への直接圧力まで、RaaSによるサイバー攻撃の悪質化・高度化が進んでいます。

従来型セキュリティの限界とゼロトラストセキュリティ

サイバー攻撃に対しては、従来型の情報セキュリティ対策のみでは防御しきれません。定期的なセキュリティ教育と、VPN・認証情報・アクセス権限の適切管理、多層防御（EDR/XDR、ネットワーク監視、オフラインバックアップ）の導入、そして暗号化による”システムへの侵入前提の対策“が不可欠です。完全防御は不可能であり、いかに早く侵入検知し、適切なインシデント対応計画のもと事業復旧を果たすかがサイバーレジリエンスの本質となります。

アサヒグループのケースでは、緊急事態対策本部の設置、手作業による一部業務継続、新商品の発売延期、個人情報流出の公表、そして復旧宣言までの透明かつ迅速な情報公開が、関係者との信頼維持に大きく寄与しました。政府の施策としても、重要インフラなど15業種に義務化されているActive Cyber Defense（ACD）制度拡充など、日本社会全体でのサイバー攻撃リスクへの対応強化が模索されています。

事例から学ぶサイバーレジリエンス強化のポイント

事例から学ぶべき教訓は、攻撃を未然に防ぐだけでなく”侵入前提”に立った情報セキュリティ体制の整備と、サイバーレジリエンス強化への継続的な投資・教育の重要性です。組織文化としての危機管理、復旧方針の明確化、経営陣の強いコミットメントが不可欠となります。また、暗号化やゼロトラスト、防御・検知・復旧サイクルを確立し、被害時に迅速に情報公開と初動対応が行える体制づくりが、企業の信頼回復・競争力強化に直結することを改めて理解すべきでしょう。

高度化するランサムウェア攻撃と情報セキュリティリスクを前に、企業・組織は一時的な対策の実施に留まらず、「いかに早く立ち直るか」「次の攻撃にどう備えるか」に重点を置く必要があります。サイバーレジリエンスの本質、それは「攻撃されても倒れない」現実的な強さであり、アサヒグループへのランサムウェア攻撃事例はその象徴的な例として日本社会全体に警鐘を鳴らしています。

―第3回へ続く―

【参考情報】

【関連ウェビナー開催情報】
弊社では12月3日（水）14:00より、「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」と題したウェビナーを開催予定です。最新のランサムウェア被害事例をもとに、攻撃の実態と被害を最小化するための具体的な備えについて解説します。ぜひご参加ください。詳細・お申し込みはこちら。

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月26日（水）13:00～14:00
【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-」

2025年12月3日（水）14:00～15:00
「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年9月12日2025年9月28日

連載記事：企業の「攻め」と「守り」を支えるIoT活用とIoTセキュリティ
第3回企業が取り組むべきIoTセキュリティ対策とは？─実践例に学ぶ安全確保のポイント

Security NEWS TOPに戻る
バックナンバー TOPに戻る

IoTセキュリティは、もはや一部の技術課題ではなく企業全体の経営課題となっています。脆弱なIoT機器はサイバー攻撃の踏み台や情報漏洩の原因となり、業務停止やブランド毀損につながりかねません。本記事では、資産棚卸しから設計・運用における多層防御、さらに外部診断の活用まで、企業が取り組むべきIoTセキュリティ対策を具体事例とともに解説し、安全なIoT活用のための実践ポイントを整理します。

「まずは現状把握」―資産棚卸しの重要性

IoTセキュリティ対策の出発点は、社内にどのIoTデバイスが何台あり、ファームウェアのバージョンや通信先がどうなっているかを洗い出すことです。NECが公開した導入事例では、工場・支店・データセンターを含む23拠点で6,200台のIoT機器を自動スキャンし、未登録機器を310台発見しました。資産リストと脆弱性データベース（NVDやJVN iPedia）を突き合わせることで、更新が必要な機種を優先度順に並べ替え、限られた工数で最大効果を得られる計画が立案できたと報告されています。

設計・実装フェーズで盛り込むべき技術的対策

ハードウェアでは、Secure BootとTrustZone^®などハードウェアルートオブトラストを採用し、改ざんファームが起動しない仕組みを導入します。通信経路はTLS1.3やDTLS1.3で暗号化し、MQTT over TLSやHTTPSを選択することで盗聴・改ざんリスクを最小化します。さらにデバイス固有の秘密鍵をTPM2.0に格納することで、鍵抽出攻撃を物理的に困難にします。NIST SP 800-213ではこのような多層防御を「IoT Reference Architecture」として例示しています。

運用フェーズで欠かせない管理プロセス

いかに堅牢な設計をしても、現場でのパスワード再利用やテスト用アカウント放置が残されると台無しになります。Palo Alto Networksの2024年調査では、IoTデバイス侵害の31％が「デフォルト認証情報の継続使用」が原因でした。運用部門は設定変更ログを SIEMに集約し、アラート閾値を“失敗ログイン３回”など具体的かつ実践的に定義します。加えてSBOM（Software Bill of Materials）を更新し、上流ライブラリに脆弱性が見つかった際は影響範囲を素早く把握できる体制を整えます。

ケーススタディで学ぶ成功パターン

ケースＡ

国内自動車部品メーカーは、月次でしか実施していなかったファームウェア更新をOTA（Over-the-Air）方式に切り替え、異常が発覚した翌日にパッチ配布を完了できる体制を確立しました。その結果、取引先OEMからのセキュリティ監査に合格し、新規受注を獲得しています。

ケースＢ

大手小売企業は、POSとは別にIoT専用VLANを構築してネットワークを分離し、さらにクラウド監視サービスでトラフィックのベースラインを学習させました。導入６か月後に出力されたアノマリーアラートから不審なDNSクエリを発見し、マルウェア感染初期段階で遮断に成功しています。

第三者によるセキュリティ診断を活用するメリット

社内リソースで脆弱性検証を網羅するのは現実的に困難です。第三者による「IoT セキュリティ診断（SQAT for IoT）」では、ファームウェア静的解析、無線インターフェース侵入テスト、クラウド・API・構成レビューまでを一気通貫で実施し、重大度レベルと具体的な修正手順を報告書に整理します。日本電気株式会社（NEC）の調査では、第三者によるセキュリティ診断を受けた企業の72％が「投資対効果を定量化しやすくなった」と回答しており、経営判断の材料としても有効です。

企業が今すぐ実施できる行動

まず資産棚卸しツールでネットワークをスキャンし、IoT機器の一覧を作成してください。次に管理画面へログインし、初期パスワードが残っていないか、暗号化が有効かを確認しましょう。同時にクラウドプラットフォームのアクセスキーを見直し、最小権限原則に沿ってIAMポリシーを設定します。これら最低限の対策さえ済めば、専門家による脆弱性診断やペネトレーションテストを受ける際にも、対処漏れの洗い出しに集中できます。

まとめ―「攻め」と「守り」を両立させるために

IoTとは単なるバズワードではなく、リアルタイムデータを基盤に業務を変革する武器です。しかし武器は手入れを怠ると自社を傷つけます。本連載で取り上げたIoT例とIoT事例は、いずれもセキュリティ対策とセットで初めてビジネス価値を生み出しています。情報システム部門が主導してIoTセキュリティの体制を築き、経営層が適切に投資判断を下す。――この連携があってこそ、IoT機器は企業の競争力を押し上げる資産になります。自社の現状に一抹の不安があるなら、まずは第三者による「IoTセキュリティ診断」で弱点を可視化してみてはいかがでしょうか。

【参考情報】

ETSI EN 303 645 V2.1.1 (2020-06),“CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements”（https://www.ipa.go.jp/security/controlsystem/hjuojm000000418j-att/000108215.pdf）
Rapid7 Blog,“Multiple Brother Devices: Multiple Vulnerabilities (FIXED)”（https://www.rapid7.com/blog/post/multiple-brother-devices-multiple-vulnerabilities-fixed/）

【連載一覧】

―第1回「今さら聞けないIoTとは？─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
―第2回「身近に潜むIoTセキュリティの脅威とは？─リスクと被害事例から学ぶ必要性」―
―第3回「企業が取り組むべき IoT セキュリティ対策とは？─実践例に学ぶ安全確保のポイント」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年9月17日（水）14:00～15:00
「サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─」

2025年9月24日（水）12:50～14:00
「製造業・自動車業界のためのサプライチェーン対策 -攻撃事例から学ぶ企業を守るセキュリティ強化のポイント-」

2025年10月1日（水）13:00～14:00
「2025年10月Windows10サポート終了へ今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」

最新情報はこちら

2022年12月2日2025年5月12日

拡大するランサムウェア攻撃！
―ビジネスの停止を防ぐために備えを―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

国内の医療機関をターゲットにしたランサムウェア攻撃がいま、拡大しています。最近報告された医療機関の事例では、ランサムウェアに感染させる手段としてサプライチェーン攻撃を行ったという例もありました。ますます巧妙になっていくランサムウェア攻撃を完全に防ぐということはできません。しかし、いざ被害にあってしまうとビジネスの停止など大規模な損害がもたらされる恐れもあります。本記事では、拡大するランサムウェア攻撃に対してリスクを整理したうえで、どのような対策をとればよいのか、その手段についてBBSecの視点から解説いたします。

拡大するランサムウェア、国内の医療機関がターゲットに

近年、国内の医療機関を狙ったランサムウェアによるサイバー攻撃が相次いで報告されています。令和4年上期に都道府県警察から警視庁に報告があった被害報告のうち、「医療、福祉」は全体の一割近くとなっており、今後拡大していくことが懸念されています。

【ランサムウェア被害企業・団体等の業種別報告件数】

直近で起こった国内の医療機関を狙ったランサムウェアによる具体的な被害事例は以下の通りです。

**【医療機関を狙ったランサムウェアによる被害事例】**
年月	地域	被害概要
2021/5	大阪府	医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*1
2021/10	徳島県	電子カルテを含む病院内のデータが使用（閲覧）不能となった*2
2022/1	愛知県	電子カルテが使用（閲覧）できなくなり、バックアップデータも使用不能な状態となった*3http://www.kreh.or.jp/2022/01/19/3837/
2022/4	大阪府	院内の電子カルテが一時的に使用（閲覧）不能となった
2022/5	岐阜県	電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*4
2022/6	徳島県	電子カルテおよび院内LANシステムが使用不能となった*5
2022/10	静岡県	電子カルテシステムが使用不能となった*6
2022/10	大阪府	電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用（閲覧）不能となった*7

このように病院の電子カルテなどを扱う医療情報システムが狙われてしまった場合、業務の根幹を揺るがす大きな問題となり、最悪の場合は、長期間にわたるシステムの停止を余儀なくされてしまう可能性があります。そのため、医療機関にとって、サイバー攻撃のターゲットとなってしまうことは非常に大きなリスクと考えられます。

医療業界が狙われる理由は、医療情報はブラックマーケットにおいて高額で売買されているため、攻撃者にとって「カネになるビジネス」になるからです。「事業の停止が直接生命に関わる」という点でも、身代金要求に応じさせるうえでの強力な要因になります。

医療業界が狙われる理由について、SQAT.jpでは以下の記事でもご紹介しています。
こちらもあわせてご覧ください。
「狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを」

業種問わず狙われる―サプライチェーン攻撃によるランサムウェアの被害

前述した2022年10月の大阪府の病院を狙った事例では、その後、11月に同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道がありました。これはランサムウェアを感染させるためにサプライチェーン攻撃を行ったということになります。

こうしたサプライチェーンの脆弱性を利用したランサムウェアの被害は、医療業界だけの話ではありません。特定の業種に限らず、標的となる企業を攻撃するために、国内外の関連会社や取引先などのセキュリティ上の弱点を突く攻撃は珍しくないように見受けられます。

**【サプライチェーンを狙ったランサム攻撃による被害事例】**
年月	被害概要
2021/4	光学機器・ガラスメーカーの米国子会社がランサムウェアの被害により、顧客情報など300GBのデータを窃取されたことを攻撃グループのリークサイトに掲載される*8
2022/4	情報通信機器等の製造を行う企業と同社の子会社がランサムウェアの被害を受け、従業員の個人情報のデータを暗号化され、復号不可能になった*9
2022/3	自動車部品メーカーの米州のグループ会社がランサムウェアによる不正アクセスを受け、北米及び南米地域の生産や販売などの事業活動に一時支障が起きた*10
2022/3	国内大手自動車メーカーの部品仕入先企業が狙われ、自動車メーカーの業務停止につながった*11

業務委託元企業がしっかりとセキュリティ意識をもって対策を行っていても、関連する業務委託先のさらに再委託先などのセキュリティの対策に必要なリソースの確保が難しい企業の脆弱性が狙われるため、一か所でもほころびがあるとサプライチェーンに含まれる全企業・組織に危険が及ぶ恐れがあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアによる影響範囲と具体例は以下の通りです。

国内でランサムウェア被害にあった企業・団体等について、警視庁のアンケート調査によると、2割以上が復旧までに1ヶ月以上かかり、5割以上が調査・復旧費用に1000万円以上の費用を要したという調査結果を報告しました。

【復旧に要した期間と調査・復旧費用の総額】

米国での調査においてもランサムウェア攻撃によるデータ侵害の平均コストは454万米ドルでこれはデータ侵害全体での平均総コストを上回っていることに加えて、原因の特定に237日、封じ込めるまでに89日と合計ライフサイクルは326日となっており、全体の平均より大幅に長くかかっていると報告しました。

【ランサムウェア攻撃のデータ侵害の平均コストと特定し封じ込めるまでの平均時間】

ランサムウェアによる感染を防ぐため対策の見直しを

企業・団体等においてランサムウェアの感染経路には様々なケースがあります。そのため、以下の対策を多重的に行い、被害を最小限に抑えていく必要があります。

1.　データやファイル、システムの定期的なバックアップの実施
2.　企業・組織のネットワークへの侵入対策
　　ファイアウォールやメールフィルタ設定により不審な通信をブロック
　　不要なサービスの無効化、使用しているサービスのアクセス制限
3.　攻撃・侵入されることを前提とした多層防御
4.　OSやアプリケーション・ソフトウエア、セキュリティソフトの定義ファイルを常に最新の状態にアップデートする
5.　強固なパスワードのみを許容するなど適切なパスワードの設定と管理を行う

3.攻撃・侵入されることを前提とした多層防御について、SQAT.jpでは以下の記事でもご紹介しています。こちらもあわせてご覧ください。
「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」

また、各業界向けに発行されているセキュリティ対策ガイドラインなどを参考にし、自組織の対策の見直しをすることも重要です。

【参考情報：各業界のセキュリティ関連ガイドライン等】

■（重要インフラ14分野向け）
NISC「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」
■（医療業界向け）
厚生労働省「医療情報システムの安全管理に関するガイドライン」
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
■（金融業向け）
FISC「金融機関等コンピュータシステムの安全対策基準・解説書等」
■（交通関連企業向け）
国土交通省「国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン等」
■（教育業界向け）
文部科学省「教育情報セキュリティポリシーに関するガイドライン等」

他人事ではない、ランサムウェア攻撃のリスク

冒頭で述べたランサムウェア攻撃をはじめ、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。

※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定している。

ランサムウェア攻撃への備えとして、前述のような様々な対策を講じるにあたって、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

BBSecでは

当社では以下のようなご支援が可能です。

＜企業・組織のネットワークへの侵入対策＞

＜攻撃・侵入されることを前提とした多層防御＞

＜セキュリティ教育＞

標的型攻撃メール訓練

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2020年1月23日2025年8月12日

高まるAPT攻撃の脅威

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® 情報セキュリティ瓦版 2020年1月号

あらためて、「侵入前提」の備えを

「攻撃のターゲットに定めた組織に対し、高度かつ複雑な手法を用いて長期間にわたり執拗な攻撃を行う」―「APT」と呼ばれるタイプの攻撃の矛先が、今、日本にも向けられるようになっています。従来、APTには侵入を前提とした多層防御が有効とされてきましたが、国際的に注目度の高いイベントであるオリンピック・パラリンピックが目前に迫り、日本を対象とした攻撃がこれまでになく増えると予想される中、あらためて自組織の状況を点検し、セキュリティの強化を図る必要があります。

APT28とは

「APT」とは「Advanced Persistent Threat」（直訳すると「高度で持続的な脅威」）の略語で、日本では主に「高度標的型攻撃」という呼称が使われています。「標的型攻撃」は、文字どおり、特定の組織をターゲットにした攻撃を指します（図１参照）。この中でも高度な手法を用いた長期にわたるものが「APT」とみなされます。狙いを定めた相手に適合した方法・手段を用いて侵入・潜伏を図り、攻撃に必要な情報を入手するための予備調査も含め、執拗に活動を継続するのが特徴です。なお、セキュリティ機関や調査会社では、こうした攻撃が確認されると、攻撃の実行主体（APTグループ）を特定し、活動の分析に取り組みます。グループを追跡する際は、組織が自ら名乗る名称に加え、多くの場合、「APT＋数字の連番」（例：「APT 1」「APT 2」）がグループ名として使用されています。

図1：標的型攻撃の主な手口

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami_cyber_jousei.pdf

広範かつ大規模な攻撃活動

これまでに特定されたAPTグループの数は、上記連番方式により同定されているグループだけでも約40に上ります。国家レベルの組織による支持や支援を受けているとみられるものも多く存在し、その攻撃は高度であるだけでなく、広範かつ大規模です。直近では2019年10月に、ロシアの支援を受けているとみられる「APT28」（自称「Fancy Bear」）による脅迫メールが世界的な注目を集めました。

脅迫の手口は、「攻撃対象の組織のWebサイト、外部から接続可能なサーバ・インフラに対するDDoS攻撃を予告し、それを回避するための費用として仮想通貨を期日内に支払うよう要求する」というもので、危機感を煽るため実際にDDoS攻撃を行ったケースもありました。ペイメント、エンターテインメント、小売といった業種の複数組織を対象に同グループによる脅迫メールが送付されていることを、ドイツのセキュリティベンダが特定し、その後、JPCERT/CCにより日本国内においても複数の組織が同様のメールを受け取っていることが確認され、注意喚起が出されています。なお、同グループは、2016年の米大統領選挙のほか、政治団体やスポーツ団体などをターゲットにした攻撃への関与も疑われています。

地域・文化を超えるサイバー攻撃

従来、APT攻撃は主に欧米の組織を標的にしており、日本語という言語の特殊性などがハードルとなり日本企業は狙われにくいとの認識がありました。しかし、近年は、巧みな日本語を使用した、明らかに日本企業を標的とする攻撃が増加傾向にあります。

たとえば、独立行政法人情報処理推進機構（IPA）に報告されたサイバー攻撃に関する情報（不審メール、不正通信、インシデント等）の2019年の集計結果では、9月末時点で寄せられた攻撃情報、計897件のうち235件が標的型とみなされており、直近の7月～9月でその比率が顕著に上昇しています（表1参照）。当該データ113件のほぼ9割がプラント関連事業に対する攻撃で、実在すると思われる開発プロジェクト名や事業者名を詐称し、プラントに使用する資機材の提案や見積もり等を依頼する内容の偽メールが送信されています。IPAは、「現時点では、攻撃者の目的が知財の窃取にある（産業スパイ活動）のか、あるいはビジネスメール詐欺（BEC）のような詐欺行為の準備段階のものかは不明」としつつも、特定の組織へ執拗に攻撃が繰り返されていることから、これらをAPT攻撃の可能性がある標的型メールの一種に位置づけたと説明しています。

出典：サイバー情報共有イニシアティブ（J-CSIP）運用状況[2019年1月～3月]、[2019年4月～6月]、[2019年7月～9月]より当社作成

同様の傾向は、他国のセキュリティ機関の分析からも伺えます。タイのCSIRT組織ThaiCERTによるレポート『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』（2019年6月公開）を見ると、日本をターゲットに含めた攻撃は、もはや少ないとは言えません。たとえば、「Blackgear」と呼ばれる攻撃グループは日本を明白なターゲットにしており、C&Cの拠点を日本に置き、日本語の文書を使って攻撃を仕掛けます。また、2018年に確認された東南アジアの自動車関連企業をターゲットとした攻撃では、タイミングを同じくして特定の日本企業への攻撃が複数回観測されています。さらに、ターゲットとされる業種や狙われる情報の種類が多様であることも目を引きます。かつては、銀行のデータや個人情報がまず標的になりましたが、ここ数年、ターゲットの業界が航空宇宙・自動車・医療・製薬へとシフトし、ブラックマーケットでの高額取引が期待できる、各業界に固有の技術情報や特許出願前情報の奪取へと、攻撃目標が変化しています（表2参照）。

出典：『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』より当社作成

個人情報が流出した場合の損害賠償や事態収拾のための費用などを含めた事後対策費は平均6億3,760万円 1) と言われていますが、技術情報が流出した場合の想定被害額はその数十倍、数百倍に及ぶ可能性があります。技術情報のみならず、いわゆる「営業秘密」とされる知的財産の流出は、事業活動の根幹を揺るがす事態に発展しかねない規模の損失を招く恐れがあります。近年各社により提供されるようになっているサイバーセキュリティ保険等で損害補償対策を検討するのも一案ですが、国家の関与が疑われるAPTグループの攻撃被害については保険金が支払われない可能性もあります。より甚大な被害をもたらす攻撃を行うグループが、今、日本企業を新たな標的に定めつつあるという事実は、国内のあらゆる事業者が共有すべき攻撃の傾向となっています。

より強靭な「多層防御」でAPT攻撃の影響を最小限に抑える

APT攻撃への対策としては、従来、侵入を前提とした多層防御が有効とされてきましたが、足元でAPTグループによる日本への攻撃が増加傾向にある中、あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。防御策としてまず思い浮かぶのは、出入口を守るファイアウォールやUTM（統合脅威管理）、既知の脆弱性への対応などですが、それだけでは十分とは言えません。

APT攻撃での代表的な手口は、ターゲットにした組織への侵入を試みる目的で使用される標的型メールです。この入口対策を考えると、疑似的な攻撃メールを用いて開封率などを可視化して「ヒト」に対する教育訓練を施す「標的型メール訓練」は検討に値する対策の1つです。留意したいのは、開封率の低減を最重要視するのではなく、「開封されても仕方なし」というスタンスで取り組むことです。訓練の目標を「開封された後の対応策の見直しと初動訓練」に設定し、定められた対応フロー通りに報告が行われるか、報告を受けて対策に着手するまでにどれくらいの時間を要するかを可視化して、インシデント時の対応フローおよびポリシーやガイドラインの有効性を評価することをお勧めします。また、従業員のセキュリティ意識を向上させるために、教育および訓練と演習を実施するのが望ましいでしょう。

また、「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。日本企業は、他国に比較して、知的財産の重要性に対する認識が低く、情報の所在や管理が徹底されていないという指摘があります 3) 。組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。こうした仕組みは、侵入の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。さらに感染経路・奪取可能な情報を洗い出し、感染範囲・重要情報へのアクセス状況・流出経路などを可視化できれば、システム内部へ拡散するリスクを把握することもできます。この「標的型攻撃のリスク可視化」により、「出口」対策へ効果的にリソースを有効活用することで、実効性をさらに効果的にリスク評価することが可能になります。

2020年、オリンピック・パラリンピックがいよいよ目前に迫り、日本への攻撃がさらに激しさを増していくと予想されます。同イベントには膨大な数の事業者が関与するため、セキュリティ的に脆弱な組織がAPT攻撃を受け、サプライチェーンやIoTを通じて被害が歯止めなく広がるリスクが大いに懸念されています。既存のセキュリティ体制をあらためて点検し、強靭化を図ることで被害を最小限に食い止めましょう。

注：
1)JNSA：2018年情報セキュリティインシデントに関する調査結果より
2) 同一のグループに対し、セキュリティ機関による命名、攻撃グループによる自称などを列挙
3) コンサルティング会社PwCが2017年に実施した調査より
（https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2018/assets/pdf/economic-crime-survey.pdf)日本における「組織がサイバー攻撃の狙いとなった不正行為」の種類を問う質問で「知的財産の盗難」と回答した比率は25%で、世界平均の12%と比べて顕著に多い数字となった。

参考情報： *1 https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf

Security NEWS TOPに戻る
バックナンバー TOPに戻る