サイバー攻撃者が日本の「弱点」に狙いを定めている。ここ3年の間に、東京大学や大阪大学などの国立大学でメールシステムへの不正侵入や研究データの流出といった事故が相次ぐ。企業に目を向ければ、大企業を真正面から攻略することを避け、取引先の中小企業を攻略してから大企業に侵入する「サプライチェーン攻撃」の脅威が増している。世界の攻撃者に弱点をさらし続ける実態に日本の関係者は対応できているのか。独自調査と取材から明らかにする。

中小企業を大企業侵攻の踏み台として悪用する攻撃が増えている。自助努力を待つだけでは危機が高まるばかり。委託元や国などによる支援が欠かせない。

 「大企業でセキュリティ事故が発生して対応に出向くと、事故の発生元である取引先の中小企業に行ってほしいと告げられる。そんなケースがここ数年増えてきた」。現場で事故対応に当たりつつ、政府の様々なセキュリティ関連委員会に参画するPwCサイバーサービスの名和利男最高技術顧問は中小企業が狙われる現状を肌で感じている。「中小企業は『盗まれて困るような個人情報や機密情報は無い』と他人事のような認識。事態は深刻だ」。

激化する攻撃、遅れる対策

 今、「サプライチェーン攻撃」の脅威が高まっている。サイバー攻撃の対策が進む大企業を直接狙わず、原材料や部品、情報システムの調達先である中小企業を攻撃して大企業侵入の足がかりとする新たな攻撃手法だ。

図 サプライチェーン攻撃の概要
中小企業を足がかりに大企業に侵入
[画像のクリックで拡大表示]

 自動車をはじめ製造業が多い日本企業は取引先が何層にも重なる。情報システムで使うアプリケーションソフトも純粋な「自社開発」は多くない。自社の製品やシステムのサプライチェーンを構成する企業は海外にも及び、攻撃者がつけ入るスキは広がる一方だ。

 参天製薬は2017年、製品の生産を委託していた海外取引先がランサムウエアの「NotPetya」に感染した。参天製薬に情報漏洩はなかったが、海外で一部製品の供給が月単位で滞った。

 同社はもともと経営層のセキュリティ意識が高く、自社内の守りを固めてきた。だが取引先への攻撃で自社に実害が発生した事実に直面し、「社外を含めた対策強化に乗り出した」と、山本範明執行役員CIO(最高情報責任者)情報システム本部長は明かす。

 サプライチェーン攻撃は正規サイトが配信するソフトや更新ファイルを改ざんしてマルウエアを送り込む「ソフトウエアサプライチェーン攻撃」を含む。参天製薬の取引先が感染したNotPetyaは何者かがウクライナの会計ソフトの更新機能を悪用してロシアや欧州に拡散させたとされている。

 実態として脅威は世界に広まっている。セキュリティ企業の米クラウドストライクの調査によれば、日本を含む世界8カ国で約7割の大企業がソフトウエアサプライチェーン攻撃を受けている。攻撃成功時の平均被害額は日本企業の場合で平均1億円超と高額だ。

ソフトウエアサプライチェーン攻撃を受けたか
(n=1300)
[画像のクリックで拡大表示]
ソフトウエアサプライチェーン攻撃による経済損失
[画像のクリックで拡大表示]
図 ソフトウエアサプライチェーン攻撃の実態
約7割の企業が攻撃を受けている(出所:米クラウドストライク)

調査概要:世界8カ国(米、英、ドイツ、カナダ、メキシコ、オーストラリア、日本、シンガポール)の企業に務める上級IT意思決定者とITセキュリティ専門家の合計1300人に2018年4~5月、インタビュー調査した。2018年7月に発表

大企業と中小企業の双方に課題

 サプライチェーン攻撃のリスクはかねて指摘されていた。政府は2015年に公表した「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番目に「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記し、対策を促してきた。だが脅威は去っていない。対策が行き届かない原因は大企業と取引先の中小企業の双方にある。

 大企業の場合、取引先を指導できるセキュリティ人材の不足が挙げられる。実態を調べるIPAの小川隆一セキュリティ分析グループリーダーは「金融や保険、情報通信業などごく一部の業界の超大手は別にして、『取引先のことまで考えていられないので丸投げしたい』との声があがる」と明かす。

 あえて大企業が契約段階でセキュリティに関する要件や責任範囲を決めない実情もある。「明確にすると、その分の費用が納品物に上乗せされるため、わざと曖昧にしている」とあるセキュリティ関係者は打ち明ける。

 下請けいじめの懸念もある。「一般的な商習慣に照らし、過剰なセキュリティ対策を求めると優越的地位の濫用が問われる恐れがある」と経済産業省の奥家敏和商務情報政策局サイバーセキュリティ課長は説明する。

 一方、中小企業が抱える課題はセキュリティ対策にかける人手や予算の不足だ。東京都大田区役所の飯嶋清市産業経済部長は日本のものづくりを支える町工場が抱える問題を生々しく語る。「3500ある町工場の8割以上が従業員9人以下で、情報システムといってもWindows 7が動く古いノートPCを使う程度。知的財産など重要な情報を保有するにもかかわらず、対策のための人や資金は足りない」。

 中小企業はサイバー攻撃に襲われている事実から目を背けたいという心理もある。「セキュリティ対策という守りの投資はできれば避けたいと考える経営者が多い。そもそもサイバー攻撃に気づいていないこともある」。大阪商工会議所の担当者は嘆く。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら