本記事では、サイバー攻撃の動向や製造業での被害事例などを解説します。
現在はあらゆるもののデジタル化が進んでおり、それに伴ってサイバー攻撃の脅威が深刻化しています。サイバー攻撃の手法は年々進化しているため、企業は常に自社のセキュリティ対策をアップデートしていかなくてはなりません。
2000年から2005年頃までによく見られていたサイバー攻撃は、自己顕示や嫌がらせを目的とした個人的な愉快犯や、すぐに気付いて対策も練りやすい「目立つ攻撃」が多い傾向にありました。しかし、2005年以降は金銭などを目的とした組織的な犯行や、攻撃を受けたことに気付かずに被害が拡大する「目立たない攻撃」が増加傾向にあり、サイバー攻撃の脅威が深刻化しています。
代表的なサイバー攻撃がどのようなものかを見てみましょう。
標的型攻撃は特定の個人や組織を狙ったサイバー攻撃で、機密情報などを盗み取ったり、システムやデータを破壊したりする目的で行われます。業務関連のメールを装った「標的型攻撃メール」を組織の担当者に送付し、担当者が誤ってそのメールを開くと添付されたウイルスが動作する手法がよく知られています。
不正アクセスは、企業などが保有するサーバーやシステムへのアクセス権限を持たない者が不正に侵入し、機密情報を盗み取ったりするサイバー攻撃です。情報漏洩による被害だけでなく、サーバーやシステムを停止させられる可能性もあります。
ランサムウエアは、「Ransom(身代金)」と「Software(ソフトウエア)」を組み合わせた造語であり、その名の通り身代金の要求を目的とする悪意のあるプログラムです。上述した標的型攻撃などによって感染したパソコンをロックしたり、ファイルを暗号化したりした後に、元に戻すことと引き換えに金銭などを要求します。
DDoS攻撃は、ウェブサイトやサーバーなどに対して複数のパソコンから過剰に負荷をかけてダウンさせたり、アクセス妨害をしたりするサイバー攻撃です。攻撃に使われるパソコンは事前にウイルス等で乗っ取られたものが多く、攻撃者との関連性が分かり辛いことから、攻撃者の特定が極めて困難であるという特徴を持ちます。
また、最近ではパソコンやサーバーだけでなく、IoT機器やスマートフォンもサイバー攻撃の対象となっています。実際に、情報通信研究機構が管理するサイバー攻撃観測・分析システム「NICTER」の観測結果(「サイバー攻撃の最新動向等について」総務省サイバーセキュリティタスクフォース事務局)を見ると、2019年に観測したサイバー攻撃のうち、約半数がIoT機器を狙った攻撃でした。IoT機器のセキュリティ対策は、企業にとっての重要な課題となっていくでしょう。
サイバー攻撃の脅威は、コロナ禍でさらに深刻化したと言われています。その主な理由として考えられる内容は以下の三つです。
一つ目の理由は、クラウドサービスの利用が増加していることです。企業が利便性の高いクラウドサービスを積極的に利用するようになった結果、インターネットを通じてやり取りされるデータ量が増えており、それらを狙ったサイバー攻撃が多発しています。
二つ目の理由は、セキュリティ対策しなければならない機器が増加していることです。例えば、在宅勤務で使用するパソコンやネットワーク機器、IoT機器などに十分なセキュリティ対策ができておらず、サイバー攻撃を受けやすい状態が多く見受けられます。
三つ目の理由は、画一的なセキュリティ対策が難しくなっていることです。従来はオフィス内のセキュリティ対策を万全にしておけば事足りましたが、在宅勤務やテレワークが一般的になった影響で、従業員一人一人の働き方に合わせたセキュリティ対策が求められています。
世界最大規模のセキュリティ研究開発機関であるIBM X-Forceがまとめた「X-Force脅威インテリジェンス・インデックス2021」によると、頻繁にサイバー攻撃の対象となっている業界として製造業が挙げられています。ひと昔前までは、官公庁や金融業界、IT業界の被害が目立っていましたが、製造業のデジタル化に伴ってサイバー攻撃の主な対象になってきたといえるでしょう。
例えば、2020年1月に三菱電機とNECがサイバー攻撃の被害に遭ったことを公表しました。三菱電機では、一部の業務情報や約8千件の個人情報が流出し、NECでは防衛事業部門のファイル約2万7千件が不正アクセスを受けています。両社ともに日本の防衛関連企業であり、高度なセキュリティ対策が施されているはずでしたが、サイバー攻撃によって穴を突かれた形です。
また、2020年6月には自動車メーカーのホンダがサイバー攻撃を受け、世界の9工場で生産を一時停止する事態になりました。ランサムウエアによって各拠点のパソコンがダウンしてしまい、工場以外のオフィス系ネットワークシステムにも障害が及んだとのことです。
昨今の製造業はスマートファクトリー化に伴ってIoT機器を積極的に導入していますが、今後はそれらを狙ったサイバー攻撃が増加していくでしょう。実際に、セキュリティ対策が不十分なIoT機器を通じて、DDos攻撃を仕掛けられた事例もあります。経済産業省と総務省は「IoTセキュリティガイドライン」を2016年7月に公開していますが、サイバー攻撃は年々進化しているため、セキュリティ対策もアップデートしていかなくてはなりません。
デジタル化によって便利になる一方で、守るべき情報や機器が増えており、従来のセキュリティ対策のままでは高度化するサイバー攻撃を防げなくなっています。企業はサイバー攻撃の脅威が深刻化していることを認識した上で、適切なセキュリティ対策を取らなくてはなりません。
万全なセキュリティ対策は取引先からの信頼にもつながり、ビジネスチャンスの拡大に貢献する可能性もあります。定期的に自社のセキュリティ対策を見直していくことが、今後製造業にとっても重要な課題となるでしょう。