中堅・中小企業が大手企業との取引を行う際、これまではISO27001の認証を取得していれば「ひとまず問題なし」とされてきました。しかし、実際には、多くの企業がISO認証取得のためだけの“形だけのセキュリティ対策”に留まり、実体との乖離が深刻になっています。経営者が本当に安心できる対策とは何か?本連載では、藤田哲矢・インフォセックアドバイザリー代表取締役の新刊『取引先から信頼される 日本発サイバーセキュリティ基準』より抜粋し、企業の実情に合った取り組み方をわかりやすく解説します(全3回中の第2回)。
世界中で増加する
ランサムウェア攻撃
2000年頃を境に、サイバー攻撃は大きく変貌した。それまでの愉快犯から明確な意図を持った形になってきたのである。目的は、金銭や情報窃取、破壊活動、政治的・社会的なメッセージの発信(ハクティビズム)などさまざまだ。
攻撃者がターゲットとするのは、あらゆる産業・企業・組織である。相応のコストをかけても十分な対価が得られると判断すれば、攻撃者は行動を起こす。
「情報」を狙う攻撃では、「標的型メール」が用いられるケースが目立つ。愉快犯的な攻撃が不特定多数を対象としていたのに対し、経済的利益を狙う犯罪者は、特定の個人や組織をターゲットにして攻撃を仕掛ける。情報処理推進機構(IPA)は「機密情報等を狙った標的型攻撃」を、「情報セキュリティ10大脅威 2025(組織)」の5位に位置づけている。
標的型攻撃では通常、数週間から数カ月にわたりターゲットの情報収集が行われる。窃取したい重要情報の収納場所などシステムの構成に関する情報はもちろん、「人」も調査対象だ。SNSなども参考にしながら、誰と誰が親しいか、仕事上の付き合いがあるのかといった情報を集める。
その上で、高い価値がある情報へのアクセス権限を持っているとみられる構成員や権限者の周囲にいる人物に、知人や実在組織の名を騙って標的型メールを送る。受信者がメールに添付されたファイルを開けば、PCは即座にウイルス感染する。そのウイルスは社内システムにバックドア(裏口の一種)をつくって、外部サーバーとの通信を確立。新たなウイルスを呼び込んで、社内システムにダウンロードさせる。以上が、典型的な標的型攻撃のプロセスである。
サイバー攻撃のうち「経済犯」ともいえるのが、現在猛威を振るっているのが「ランサムウェア攻撃」である。2025年9月のアサヒグループホールディングス、同年10月のアスクルがランサムウェア攻撃を受け、被害が拡大したのは記憶に新しい。
