IBM社が発表した「X-Force脅威インテリジェンス・インデックス2024」という資料によると、2023年1月から12月までの期間にアジア太平洋地域で観測された全サイバー攻撃の約80％が日本国内を標的としたものであり、そのうち約44％がマルウェアによる攻撃だったという。

では、サイバー攻撃を受けやすいのはどのような企業なのだろうか。2021年に日本ネットワークセキュリティ協会が発表した資料「インシデント損害額調査レポート」では、2017年1月から2022年6月までに国内で生じたサイバー攻撃に関する被害状況が公開されている。資料では、国内のサイバー攻撃における被害組織の規模別割合について触れられており、中小企業が全体の47％、大企業が30％、団体などが23％という結果から、大企業だけでなく中小企業も数多く被害を受けていることが分かる。また業界ごとの被害件数は、製造業が21％、卸売業・小売業が17％、情報通信業が14％で、この3業種だけで全体の半数以上を占める結果となった。

2024年度も多数のセキュリティインシデントが報告されており、毎日一件以上のペースで国内企業が被害を受けている状況だ。

2024年7月には、とあるテント構造物メーカーがサイバー攻撃の被害に遭い、社内情報システムの一部に障害が発生していることを公表。同社を攻撃したランサムウェア攻撃グループによると、攻撃方法はマルウェアの一種であるランサムウェアであり、会計書類や雇用契約書などの個人情報が流出したという。

同グループは国内の複数企業を攻撃したと主張しており、攻撃対象として名前が挙がったほかのメーカーも、ランサムウェアによるセキュリティインシデントを公表している。幸いにも情報流出などの被害はなかったとされているものの、国内メーカーが標的にされやすいことが事例からも分かる。

もちろん、ランサムウェアによる攻撃は製造業のみを対象にしたものではない。2024年5月には、とある小売企業がランサムウェアによる攻撃を受けたことを公表。同社によると、個人情報の漏えいなどは発生していないものの、攻撃者による情報閲覧の可能性については完全に否定できないという。

ランサムウェアの被害が目に付く一方で、人為的なミスによるセキュリティインシデントの発生も目立った。例えば2024年4月には、とある情報通信系企業がクラウドストレージに対するアクセス権限を誤って設定したことで、顧客の個人情報が外部から閲覧できる状態であったことが判明。実際に第三者にダウンロードされてしまい、個人情報の漏えいが確認されている。さらに2024年5月には、関東地方のとある自治体が個人情報を含むデータを保存したUSBメモリーを紛失したことを発表している。

2024年度上半期のセキュリティインシデント事例を振り返ると、サイバー攻撃によって情報が漏えいしてしまったケースが多く見受けられる。特に個人情報の漏えいは、企業の事業、そして信用にも大きく影響する。サイバー攻撃を防ぐことはもちろん、攻撃を受けることを前提として情報漏えい被害を最小限に抑える対策にも注力しなければいけない。

近年は、「サイバー攻撃を受けてもその被害を最小限にする」考え方である、サイバーレジリエンスという概念が広まりつつある。また、ゼロトラストセキュリティやエンドポイントセキュリティといった、不正アクセスが発生することを前提としたセキュリティ概念も広く求められている。高度化するセキュリティリスクに対応するため、考え方の抜本的な変容が求められる時期なのかもしれない。

「ゼロトラストセキュリティ」の詳細はこちら!