サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)は7月7日、東京オリンピック・パラリンピックの開催時期(7月23日~8月8日、8月24日~9月5日)とその前後期間にサイバー攻撃が多発する恐れがあるとして、国内企業や組織に警戒を呼び掛けた。
オリンピック・パラリンピックの開催時期を狙うサイバー攻撃はこれまでも観測されている。2012年のロンドン五輪では数億回もの攻撃が行われたほか、2018年の平昌冬季五輪では「Olympic Destroyer」と呼ばれるマルウェアを使った攻撃が報告されており、SC3では、悪質なサイバー攻撃が多発する可能性が極めて高いとする。
SC3は、日本経済団体連合会や日本商工会議所、経済同友会など経済、産業界の各種団体と多数の企業・組織が参加し、2020年11月に設立された。五輪開催に伴い、「サイバー攻撃への適切な対処ができない場合、事業活動の継続が困難になるなどの深刻な被害を受ける可能性があることに加え、自社のみならず関係する事業者や顧客にまで影響を及ぼすことで、企業の信用問題、即ち経営責任に直結する重大な問題にもなり得る」と警鐘を鳴らす。
東京オリンピック・パラリンピック時期におけるセキュリティ対策としてSC3は、下記のポイントを挙げている。
サイバー攻撃の経営へのインパクト
- 自社のシステムに障害が発生し、事業が継続できなくなる恐れがある
- 取引先や顧客に関する情報の漏えいや、自社が取引先などへの攻撃の侵入口となり、取引先や顧客に深刻な被害を与えてしまう恐れがある
- 被害発生に対して、取引先や顧客との適切なコミュニケーション、必要に応じた当局への報告や公表などの正しい対応をしなければ、企業・組織そのものの社会的な信用を失墜させることになる
想定される攻撃の例
- 標的型攻撃による社内システムへの侵入を通じて、情報を窃取・改ざんされたり、自社システムが攻撃の踏み台とされたりする
- DDoS(分散型サービス妨害)攻撃やネットワーク機器の脆弱性などを使ってシステムに直接侵入してランサムウェアなどを仕掛けることにより、システムが停止させられる。ランサムウェア攻撃はシステムを停止させるだけでなく、知的財産情報や顧客の情報が窃取され、オンライン上に漏えいされることで大きな二次被害が出る可能性もある
- オリンピック・パラリンピックやワクチン接種をかたる偽アプリや詐欺サイト、フィッシングメール、SMSを通じたアプローチに対して、だまされて情報・金銭が窃取される
防御力強化のための対策
- 内閣サイバーセキュリティセンターや情報処理推進機構、JPCERT コーディネーションセンターなどの専門機関からの注意喚起を定期的に確認すること
- オリンピック・パラリンピック期間中は、不要なシステムは電源を落としたりネットワークから遮断したりするなど、攻撃の影響を受けない対策を徹底する
- 機器・システムに対して、アップデートなどの基本的な対策をできるだけ実施する。ただし、十分な試験をしないままのパッチ適用やシステム変更は、想定外のシステムトラブルを引き起こす可能性があることにも注意する
- オリンピック・パラリンピックやワクチン接種をかたる不正アプリや詐欺サイト、フィッシングメール、SMSに注意する
- 社内教育、広報などを通じて、セキュリティに関する社内ルールや、基本動作の徹底を図る
上記対策を行った上で事案発生に備えた準備
- 「おかしい」と思ったら、隠さずに、すぐにシステム担当者やセキュリティ担当者に報告することを社員に徹底する
- ランサムウェアの被害に備えて、システムやデータをバックアップし復旧手順を確認する
- サイバー攻撃による影響を局所化するために、システムの緊急停止やインターネット遮断などの緊急対応を実施するための手順、基準、権限を確認する
- PCのマルウェア感染やシステムトラブルの発生に備えて、土日夜間を含めた緊急対応のための連絡先を最新にし、連絡手段、社内・ベンダーの体制、駆けつけ対応方法を確認する
- システムトラブルの長期化に備えて、手動運用などの代替プランを準備する
- インシデント対応チーム内で新型コロナウイルス感染者が出る可能性も想定し、事業継続を意識した十分な対策をとる
オリンピック・パラリンピック終了後
- オリンピック・パラリンピック期間が終わっても、脅威環境が好転するかは分からない。「オリンピック・パラリンピックが終わるまでは特別体制」ではなく、今回の体制・確認を日常の基本動作にしていくこと
- オリンピック・パラリンピック期間に得た経験を生かし、今後脅威が強くなることが予想される事態に向けた備えを検討すること