サイバー攻撃はもはや他人事ではない
半田病院の事件は決して特殊な例ではない。警察庁が24年3月に公開したレポート(※1)によれば、22年にランサムウェアの被害が発生した197件のうち、大企業は71件と全体の36%だったのに対し、中小企業は102件と半数以上(52%)を占めている。大企業だけでなく、中小企業も攻撃のターゲットになっているのだ。半田病院も、病床数120床、職員数約200人の「中小企業」である。
身代金目当てならば資金力のある大企業がターゲットになるのでは、と思うかもしれない。かつてはそうだったが今は違う。サイバー攻撃が「ビジネス化」しているからだ。どういうことか。
闇市場でRaaS(ラース:Ransomware as a Service)というクラウドサービスが普及したことで、攻撃者は高度な攻撃を容易に、しかも大規模に仕掛けることが可能となった。そうなると、セキュリティ対策に力を入れていて、コンプライアンスの観点から安易に身代金を支払わない大企業よりも、大企業と比べてセキュリティ意識が低く、身代金を支払う可能性が高い中小企業を狙う方がコストパフォーマンスは高くなる。
先述の警察庁のレポートで実際の被害状況を見てみると、かなり深刻なことが分かる。ランサムウェアの被害を受けた企業・団体の20%が復旧までに1カ月以上かかっている。復旧費用も軽視できない。1000万円以上かかった企業・団体は37%と4割近くを占めている。事業が停止した上に1000万円以上の復旧費用が必要となると、とりわけ中小企業にとっては致命的だ。
最大の脅威はテレワークのVPN経由のランサムウェア攻撃
そこで、改めて企業が直面するサイバー攻撃の脅威を整理してみよう。IPA(情報処理推進機構)では、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出し、上位10位を例年公表している。
2024年の10大脅威は以下の通り(図1)。順位に変動はあったが、ラインアップは前年と全く変わらなかった。また、1位の「ランサムウェアによる被害」をはじめとして、「9年連続9回目」の選出となったものが三つもあったほか、7回目の選出が三つ、6回目の選出も一つある。10位には先ほど触れた「犯罪のビジネス化」がランクインしている。
<図1>情報セキュリティ10大脅威 2024 「組織」向け脅威
拡大画像表示
裏を返すと、同じ手口にやられ続けているともいえるわけだが、なぜそうなってしまうのか。IPAセキュリティセンターの土屋正氏は、こう分析する。
「例えばランサムウェアの感染経路は、テレワークに利用される機器の脆弱性に乗じたものが大半です。中でも、仮想の専用線であるVPN機器からの侵入は多く、警察庁の統計でも6割以上がそれだという結果が出ています。おそらく、コロナ禍となり、取り急ぎテレワーク環境を構築し、テレワークを本格導入するに当たってはしっかりと再構築していたのでしょうが、その後のメンテナンスが不十分であるか、適切にメンテナンスできる人材が社内にいないケースが多いのだろうと思います」
VPN機器の脆弱性は、ソフトウェアのプログラム上の不具合が原因で起こる。最新版へのアップデートや最新のパッチを適用すればほとんどが解決できるが、依然として被害が起きているということは、対策が遅れている企業が多いということだ。冒頭で紹介した半田病院も、導入していたVPN機器の脆弱性についてメーカーから4度も注意喚起が行われていたにもかかわらず、導入当初から一度もソフトウェアの更新を行っていなかった。
セキュリティーセンター 対処調整部
脆弱性対策グループ エキスパート
土屋 正氏
「わが社はベンダーに依頼しているから大丈夫」と考えるのは危険だ。半田病院でも複数社に依頼していたが、2年間にわたって脆弱性は放置されていた。外部の有識者で構成された有識者会議の報告書では、ベンダーに対して「セキュリティ意識が欠落しているか、適切な設定を施す技術力が全く無かったと言わざるを得ない」など厳しい指摘が複数箇所で見られる。
VPN機器が狙われた事例としては、23年7月に起きた名古屋港のランサムウェア被害がある。名古屋港は、23年まで22年連続で総取扱貨物量日本一、貿易額は約21兆円と日本経済をけん引する存在。その港内に5つあるコンテナターミナルを一元管理する「名古屋港統一ターミナルシステム」がランサムウェアに感染し、サーバーのデータが暗号化されシステムが使えなくなってしまった。
結果、名古屋港全体のコンテナ搬出入作業は約3日間も停止。ログまで暗号化されたことからすぐに原因の特定はされなかったが、国土交通省のレポートによればVPN機器の脆弱性が原因である可能性が高く、最新版へのアップデートがなされていなかったと指摘されている。
厄介なのは、2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしているように、自社が直接サイバー攻撃を受けなくても、大きな被害につながる可能性が高まっていることだ。取引先だけでなく、その委託先や子会社であっても、リスクの大きさは変わらない。
22年3月にトヨタ自動車が国内全工場を停止するきっかけとなった、部品仕入先の小島プレス工業のサイバー被害もそうだった。原因は、小島プレス工業本体ではなく、その子会社のリモート接続機器の脆弱性。たったそれだけのことで、6万社にも上るサプライチェーンが止まったのだ。