経済産業省は、国内企業で情報流出の懸念を伴うサイバー攻撃が多発しているとして、2月14日までに把握した状況と中小企業を含むインシデントの実例を公表した。同省は「サイバー攻撃が日々高度化していることを確認した」とし、企業にセキュリティ対策の強化を呼び掛けている。
同省では、NECや三菱電機など国内大手企業でサイバー攻撃によるインシデントが相次いだことを受け、1月31日に注意喚起を行った。併せて産業団体を通じ、企業に重要情報の漏えいなどの可能性が合った場合に2月14日までに報告するよう求め、期限までに40件弱の報告が寄せられたという。
それによると、サイバー攻撃による重要情報の漏えい報告はなかったが、各社の報告から下記の動向が確認されたとしている。
- マルウェア添付のメール経由での感染などに加え、ネットワーク機器の脆弱性や設定ミスを利用して侵入経路を確立するなど、メール開封などのユーザーの動作を介さずに直接組織内のシステムに侵入する手法
- 侵入後もPowerShellなどを用いたファイルレスの攻撃や、C&Cサーバーとの通信の暗号化、痕跡の消去など攻撃の早期検知と手法の分析を困難にする攻撃手法
- 海外拠点や取引先などサプライチェーンの中で相対的にセキュリティが弱い組織が攻撃の起点となり、そこを踏み台に侵入拡大が図られる事例の増加
- 企業がグローバルビジネスを拡大し、活動内容の統合レベルを上げていくほど、インシデント発生時の被害も大きくなる恐れ。影響範囲を限定するためのシステムの階層化など、海外子会社なども含めた対応体制の整備が一層必要
- ID、パスワードのみで利用可能な会員制サイトやクラウドメールアカウントなどが流出したID、パスワードのリストを利用した「リスト型攻撃」により、不正ログインされる事案が継続的に発生
- ログイン機能に2段階認証や2要素認証を導入することでウェブサイトへのアクセスに関するセキュリティを強化したり、個人情報を機微度に応じて分割して管理したり、各データへのアクセス権を別に設定するなどのシステム構造の見直しが大切
また、同省では2019年度に、中小企業で発生したサイバー攻撃の初動対応を支援する「サイバーセキュリティお助け隊実証事業」を実施し、1064社が参加した。計910件のアラートが発生し、128件のインデントに対応(リモート110件、オンサイト18件)したという。対処を怠った場合に被害想定額が5000万円近くに上る事案もあったとし、下記のような実例を紹介している。
- Windows XPでしか動作しないソフトウェアを利用するためにマルウェア対策ソフトを導入していないWindows XP端末を使用。社内プリンターを使用するために社内LANに接続した結果、意図せずにインターネット接続した状態になりマルウェアに感染した。検知、駆除できていなかった場合の想定被害額は5500万円
- 社員の私物のiPhoneが会社のWi-Fiに無断接続されていた。過去にマルウェアやランサムウェアの配布に利用されている攻撃者のサーバーと通信していた。検知、駆除できていなかった場合の想定被害額は4925万円
- 社員が出張先ホテルのWi-Fi環境でなりすましメールを受信し、添付されたマルウェアを実行して「Emotet」に感染。これにより不正なPowerShellコマンドが実行され、アドレス情報が抜き取られた。その後にこの企業になりすまして取引先などのアドレスに攻撃メールが送信された
- 実証に参加した企業でマルウェア添付メールが集中的に検知され、取引先のメールサーバーが不正侵入されメールアドレスが漏えいし、それらのアドレスからマルウェア添付メールが送付されていた。メールは「賞与支払い」「請求書支払い」などを装うなりすましで、サプライチェーンを通じた標的型攻撃だった
こうした実態を踏まえ経産省は、「企業が担うべき責任は自らの事業継続の確保にとどまらない」と指摘し、企業に行動指針として(1)サプライチェーン共有主体間での高密度な情報共有、(2)機微技術情報の流出懸念時の経産省への報告、(3)適切な場合の公表――を提示している。
