2022年のサイバー攻撃事例から振り返る　サイバーリスク＝ビジネスリスク

「サイバーリスク＝ビジネスリスク」を示す象徴的な被害が日本国内で発生

2022年は、ランサムウェア攻撃により法人組織の生産活動や営業活動が通常通り行えなくなることで、ビジネスや人々の生活に甚大な影響を与えたサイバー攻撃が複数発生しました。また、取引先や子会社といった業務上の繋がりを経由し、被害が連鎖するサプライチェーンリスクも顕在化しました。2022年のサイバー脅威動向を総括すると「サイバーリスク＝ビジネスリスク」であることが再認識された年だと言えます。

ビジネスを停止させるランサムウェア攻撃

昨今のランサムウェア攻撃は、事前に標的企業を入念に調査し、その標的に特化して攻撃を行う「標的型攻撃」の手法をとっています。特徴として、ランサムウェアによるデータ暗号化の前に企業のネットワークに侵入し、内部活動により攻撃成果の最大化を狙うことがあります。そして身代金要求時には、盗み出したデータの暴露や、取引先等への連絡を行うなどによる多重脅迫の手口が見られます。トレンドマイクロの調査によると、国内のランサムウェア検出台数は2019年以降過去最多を記録しています（図2）。また、日本は３社に1社がランサムウェア攻撃の被害を受けており（図3）、そのうち約７割が窃取情報を暴露すると脅迫する「二重脅迫」の被害にあっており、同じく約7割は、サイバー攻撃者が標的組織の顧客やビジネスパートナーへ連絡し、被害組織に金銭の支払いを促す「四重脅迫」の被害にあっていることがわかりました。

図３：ランサムウェア攻撃を受けた割合
（出典：トレンドマイクロ　「ランサムウェア攻撃グローバル実態調査 2022年版」）

ランサムウェア攻撃は、データを暗号化することで生産活動や営業活動などを行えなくするため、直接的にビジネスリスクに繋がることがあります。特に二重、四重脅迫は、自社の情報だけではなく、顧客やビジネスパートナーの情報が暴露されたり、顧客やビジネスパートナーにランサムウェア攻撃にあったことが伝わるため、顧客やビジネスパートナーからの「信用失墜」につながり、最悪の場合、ビジネスの中断や破綻、サプライチェーンの供給網からの離脱、顧客離れなど、中長期的なビジネスリスクに繋がる懸念があります。ランサムウェア攻撃が組織にもたらす甚大な影響は計り知れません。このようなビジネスに甚大な影響を与えるランサムウェア攻撃について、2022年に日本で象徴的な事例が2件発生しました。

組織のサイバーリスクが事業の甚大な被害として顕在化

１件目は2022年3月の「国内自動車メーカーでの工場ラインの停止」の事例です。こちらは、取引先部品メーカーのランサムウェア被害の影響により、自動車メーカーに関連する国内全工場14カ所の28ラインが停止し、約1万3000台の生産に影響があったと報告されています。２件目は2022年10月の「国内医療機関での手術や診療の停止」の事例です。こちらは、大阪の医療センターがランサムウェアに感染したことにより、電子カルテシステムを含む基幹システムに障害が発生し、緊急以外の手術や外来診療の一時停止など、通常診療ができない状況に陥りました。これらの事例は昨年、日本国内の法人組織に大きなインパクトを与えたセキュリティインシデント事例でした（病院へのランサムウェア攻撃に関する詳細はこちらをご覧ください）。

この2つの事例について、侵入経路や原因を解説します。
自動車メーカーの事例は、自動車メーカー自体はランサムウェアの被害を受けておりませんが、自動車メーカーのサプライヤーである部品メーカーがランサムウェアの被害を受けたことで、自動車メーカーが全国の工場の操業停止を行いました。部品メーカーが被害を受けた要因は、部品メーカーの子会社のネットワークを経由してランサムウェアが侵入したためです。子会社が特定の外部企業とやりとりするためのVPN機器に弱点があり、そこが起点となりランサムウェアに侵入されました。これは、業務上の繋がりを経由した被害連鎖であり、取引先や子会社等のネットワークを経由して侵入されるビジネスサプライチェーン攻撃の典型的な被害です。（図４）

図４：2022年3月公表の国内製造業でのランサムウェア被害の概要（公表内容を元に整理）

国内医療機関の事例は、医療機関自体がランサムウェアの被害を受けました。侵入経路について、政府の専門化チームの調査によると、同じランサムウェアの感染が、医療機関が給食を委託している事業者でも起こっていたことが分かりました。専門化チームの報告によると、給食委託業者のデータセンターと医療機関のネットワークはVPNの閉域網でつながっており、給食委託センターのデータセンター内のサーバからリモートデスクトップ（RDP）による大量の不正通信が確認され、これが医療機関への侵入経路の可能性が高いとされています。給食委託センターのデータセンターへ侵入原因は、データセンターのメンテナンス用のリモート接続機器の脆弱性を悪用されて侵入されたことが推測できます。（図5）

図５：2022年10月公表の国内医療機関でのランサムウェア被害の概要（公表内容を元に整理）

このように、サイバー攻撃はセキュリティ上の弱点が狙われる傾向があります。
サプライチェーンを構成する他組織が侵入口となり、自組織が被害を受けてしまうことで「サプライチェーンリスク」に繋がります。取引先や子会社等の侵害を起点に自組織に被害が連鎖するため、被害に気が付きにくい傾向があります。
また、そもそも侵害されてしまうリスクとして、外部からのアクセス経路であるVPNやRDPなどに脆弱性があったり、認証情報が突破可能であることが挙げられます。攻撃者は外部から侵入できる弱いところ、攻撃しやすいところを狙うため、VPNやRDPなどのリモート接続機器を狙う傾向があります。このような問題の原因には、ビジネスとセキュリティの不整合が考えられます。

サイバーリスクに繋がるビジネスとセキュリティの不整合

昨今、攻撃手法や脅威が巧妙化する中で、サイバー攻撃により事業基盤そのものを揺るがすことがあります。しかし、ビジネス側がその変化に対応できていない・ついていけていないことが不整合に繋がっています。この不整合を解消するためには、サイバーリスクはビジネスリスクの一部であることを再認識し、事業継続上の問題として扱うことが必要です。また、従来のセキュリティ対策は、脅威を侵入させないといった被害を発生させない点に焦点を当てていましたが、近年の考え方として、侵入されてしまうことや、被害の発生を前提に対策を考えることが重要となっています。BCP（事業継続計画）には、被害が起こった際の復旧を織り込むなど、被害が発生したとしても、そこからいかに早く復旧や回復するのかといった“サイバーレジリエンスの向上”が重要であり、復旧まで見据えたセキュリティ構築がポイントになってきます。また、サイバーリスクがビジネスリスクに繋がる昨今の状況において、経営陣のセキュリティへの積極的な関与が求められます。
しかし、トレンドマイクロの調査によると、日本は他の国や地域と比べて、経営陣がセキュリティへ積極的に関与できていない状況が明らかとなりました。（図6）

図6：セキュリティの体制構築状況に関する主な質問の結果
（出典：トレンドマイクロ　組織のサイバーセキュリティリスク意識調査「Cyber Risk Index」2021年下半期版）

また、組織がレジリエンスを担保するためには、「復旧」が最も重要な機能となりますが、トレンドマイクロの調査では、法人組織のセキュリティ成熟度を、NIST Cyber Security Framework（CSF）が示す識別・防御・検知・対応・復旧の5つの機能毎に、自組織のセキュリティ成熟度を0~4の5段階で評価する質問を行ったところ、「復旧」が最も低い結果となりました。

図7：セキュリティ成熟度の機能毎の平均点 (n=253)
（出典：トレンドマイクロ「法人組織のセキュリティ成熟度調査」）

サイバーリスクの特定に必要な要素として「脅威」、「脆弱性」、「資産」が挙げられます。セキュリティ担当者として「脅威」「脆弱性」は自身で把握、管理、特定ができますが、「資産」についてはセキュリティ担当者だけでは把握することは難しい側面があります。（図8）このように、ビジネスを守るセキュリティ対策は、ビジネス部門だけで対応することには限界があり、ビジネスの現場で働く関係者を含め、ビジネスに関わる全員がリスクオーナーの責任を果たす必要があります。つまり、セキュリティの専門人材以外（プラス・セキュリティ人材）がセキュリティの鍵を握っています。法人組織がサイバーリスクを回避し、レジリエンスを高めるためには、プラス・セキュリティ人材を育成・活用することが求められ、セキュリティ体制を構築することが重要です。具体的には、セキュリティ対策の識別、対応、復旧の段階にセキュリティ専門人材以外の人物となるプラス・セキュリティ人材をリスクオーナーとして組み込むことや、セキュリティ意識を高めてもらうための教育を施すアクションがポイントになります。

図8：（出典：トレンドマイクロ　『プラス・セキュリティナレッジトレーニング基礎』　＊テキストより一部抜粋）

まとめ

昨今、サイバーリスクが企業の事業経営を脅かすビジネスリスクと密接に関わっている中、法人組織は自社のサイバーレジリエンスを向上させることが重要です。サイバーレジリエンス向上のために、「経営陣の積極的な関与」および「専門人材以外の活用」が求められます。2022年のサイバー脅威を振り返り、自社のセキュリティを見直して頂けると幸いです。