サイバー攻撃について

　2025年8月9日の日本経済新聞に「サイバー攻撃被害の病院　業者と10億円で和解」という記事が掲載されました。この記事を見て、セキュリティ対策が不十分だったため、授業料として業者は10億円を支払ったんだな・・・と思いました。本件は、2022年に大阪府の大阪急性期・総合医療センターで発生したサイバー攻撃による大規模システム障害の損害についてです。システム障害は2022年10月に発生し、身代金要求型コンピューターウィルス「ランサムウェア」によるサイバー攻撃で電子カルテが使えなくなり、救急患者の受け入れや初診の受付を停止しました。電子カルテは、2023年1月に全面復旧しました。大阪府立病院機構が2023年3月に発表した調査報告書では、給食の委託業者経由でシステムに侵入されたと断定しました。そして、センター側の対策が不十分だったことで被害が拡大したと結論付けてます。センターによると被害額は20億円だったとのことです。民間事業者3社が大阪府立病院機構に総額10億円の解決金を支払う内容で和解が成立したという内容です。

　今回は、久しぶりにサイバー攻撃について、話しをしたいと思います。

 目次

• サイバー攻撃の現在の状況について
• 日本での最近の被害について
• 日本の対策について
• 今後の中小企業の対応策について
• 今後の企業の動向
• アドバンス・キド株式会社からのご提案

1. サイバー攻撃の種類

　サイバー攻撃の種類は、経路や手口によって分けられます。例えば、「標的型攻撃」と呼ばれる手口については、あらかじめターゲットを絞って、攻撃をします。以前、被害にあった大手旅行会社に対しては、取引先の航空会社を装った偽装メールが送られ、ウィルスに感染しました、実在の担当者の署名まで入っていたそうです。その他、ソフトウェアのＯＳの脆弱性を利用した「ゼロディ攻撃」や、昔からある「マルウェア」の被害も後を絶ちません。ＷＥＢアプリケーションで動作不良を起こさせる「ＳＱＬインジェクション」といった手口なども、新たに増えつつあります。

2. サイバー攻撃の現在の状況について

　サイバー攻撃は、国外ではアメリカの企業や機関がターゲットにされる例が多い様です。サイバー攻撃を使った海外からのテロなども多いです。世界的なサイバー攻撃の事例としては、アメリカのカンザス州のバーリントン近郊のの原子力発電所を標的にしたサイバー攻撃があげられます。このサイバー攻撃は、技術者を経路としたと見られます。技術者に対して悪意のあるプログラムを埋めたテキストを業務に必要なメールに見せて送り付けたそうです。ほかにもイランの核関連施設を狙ったサイバー攻撃などさまざまな被害事例が確認されてます。

２．日本での最近の被害状況

　2024年の日本でのランサムウェアの被害件数は、222件、2023年は197件、2022年は2030件となっており、ここ数年は高水準で推移してます。2024年は、情報窃取を目的としたサイバー攻撃、国家を背景とする暗号資産獲得を目的としたサイバー攻撃事案が相次いで発生しました。年末年始には金融機関等におけるDDos攻撃と見られる被害が発生しました。また、インターネットバンキングにおける不正送金事犯は、2024年の被害件数は、4,369件、被害総額は約86.9億円となってます。2023年の被害件数は、5,578件、被害総額は約87.3億円だったことから、1件あたりの被害総額が増加していることが分かります。手口の9割が送信者を詐称したメールやSMSを送りつけ、貼り合わせたリンクをクリックさせて偽のホームページに誘導し、クレジットカード番号やアカウント情報を盗みだすフィッシングです、サイバー攻撃は決して他人事ではなく、あらゆる企業、個人が標的となりうる脅威となってます。

　インターネットバンキングに関わる不正送金事案のみならず、SNS型投資・ロマンス詐欺等においても、暗号資産によるマネーロンダリングが行われるなど、インターネット上のサービスが悪用される事例が出ています。

３．日本での対策ついて

　大手企業はもちろん、大手企業のネットワークに侵入するために取引先の中小企業を標的にするケースが紹介されてます。サイバー攻撃の手口には、OSやアプリケーションの脆弱性をついてくるものも少なくありません。そこでこれらのソフトウェアの開発企業は、こうした問題を把握した上で脆弱性を解消するためのアップデートを実施しています。ユーザーとしては、アップデートを通じて、ソフトウェアを常に最新の状態に保つことを心掛け、古いバージョンのまま続けない対応が大事です。そのため、ソフトウェアのアップデート情報は、こまめにチェックするとともに、アップデート版が配布された際に速やかに実行することが推奨されてます。最近は、業者と契約し、定期的にメンテナンスを業者のサービスに任せるユーザーも出てきてます。

　メールを介して実行されるサイバー攻撃は特に多いため、対策としてメールセキュリティを強化し、悪意のあるプログラムが侵入するリスクを軽減させることが重要です。メールセキュリティ製品を導入することでマルウェアなどが埋め込まれたメールを検知して、隔離したり、危険性の高いと思われる添付ファイルを発見した場合にユーザに通知できる仕組みを用意することが推奨されてます。

　Webブラウザを介して、不正なWebサイトに誘導する手口もサイバー攻撃には多く見られます。こうした手口による被害を防ぐには、Webブラウザセキュリティを強化しておくことが大切です。例えば、フィッシング対策機能を備えたセキュリティ対策ソフトを活用することで、不正なWebサイトへのアクセスをブロックできます。あるいは、インターネット通信を常時検査するプロトコルフィルタリングやWebアクセス保護などの機能を有功にしておくことでも、悪意のあるWebサイトへのアクセスを回避できる可能性を高めることができます。

４．今後の中小企業の対応策について

　大手中小を問わず、セキュリティ対策は必須と言えます。サイバー攻撃を防ぐためにも、企業としてしっかりとした対策を突必要があります。社内で利用するＰＣやスマホ、無線ＬＡＮに関しては、暗号化やユーザー認証、セキュリティソフトの導入が必要です。ネットワークの利用履歴も確認できる体制の発足が好ましいでしょう。スマホやノートパソコンの私用持ち込みや情報の持ち帰りについては、セキュリティポリシーを策定するのがよいでしょう。また、サイバー攻撃を受けても中に入らせないのが一番ですが、中に入られても情報を出さない仕組み、監視体制があると守りやすいと思います。自社ネットワーク内の常時監視は有効だと思います。

５．今後の企業の動向

　2025年8月6日の日経新聞で「サイバー対策で取引先選別」という記事が、掲載されてました。大手企業がサプライチェーン（供給網）全体のサイバーセキュリティ対策を点検し、脆弱な企業との取引を見直しています。巨大な調達網の中でわずか１社のサイバー被害によって生産活動が、停止し、顧客先も含めて影響が広がる恐れがあるためです。経済安全保障の観点から半導体産業などでサイバー防衛力を高める動きが広まってます。

　半導体大手キオクシアはリスクが高い取引先との契約を再検討します。同社の取引先企業は部品納入や業務委託、クラウドサービスなど3,000社にのぼります。アメリカのセキュリティ・スコアカードのツールを使ってウェブサイトやサーバのセキュリティ設定、脆弱性の有無など約200項目を評価します。今秋から3,000社のうちセキュリティ対応の低い企業を抽出し、改善を促します。半導体工場は一度稼働を止めると被害額が大きくなります。担当者は、「既存契約先でも脆弱性が発見され、中長期的に改善が見られなければ、他の調達先を探すことになる」と厳しい姿勢で臨む様子です。
　他の大手企業も同様の動きが見られます。

６．アドバンス・キド株式会社からのご提案

　サイバー攻撃対策は、すぐにでも実施しないといけません。しかし、セキュリティ対策は、生産性が無く、目に見える利益としては認識しづらい為、投資しづらい案件です。そのため、セキュリティ対策を後回しにしている企業が多いことも事実です。
　例えば、アドバンス・キド株式会社が提案する電気代削減プロジェクトによって、固定費を削減し、その削減額の一部を使って、セキュリティに投資をしてみては、いかがでしょうか。経費の上乗せではなく、現状の経費の見直しで、今よりも良い状況が実現できる可能性があります。
　また、万全なセキュリティ対策をしておけば、大手企業のサプライチェーンの一角に入ることができる可能性が出てきます。
　是非、ご検討ください。