警察庁サイバー警察局による2024年上半期のまとめによると、ランサムウェアの攻撃は依然として高水準が続いているとされています。IPAの組織における10大脅威でも2年連続で1位となり、様々な被害が報告されるなど、2024年もランサムウェアは最も深刻な問題となりました。ランサムウェアは、企業や公共機関のシステムを麻痺させ、巨額の身代金を要求する手口で、被害は年々増加しており、来年も続くと予想されます。
また、ランサムウェアの感染における大きな脅威のひとつとしてサプライチェーン攻撃が挙げられます。サプライチェーン攻撃とは、標的とする大企業に直接攻撃するのではなく、セキュリティの手薄な関連会社や取引先企業を通じて不正に侵入するサイバー攻撃のことです。例えば、2023年に給食業者のシステムが第3者に侵入され、そのシステムを踏み台として大手医療機関の電子カルテシステムが暗号化される事件が発生しました。この結果、病院が長期間停止する事態となっています。2024年では、5月に株式会社イセトーがランサムウェアの被害にあい、同社に業務を委託していた全国の自治体・企業の個人情報、約200万件の漏えいにつながる大きな被害をもたらしました。6月にも、大手保険会社東京海上日動火災保険株式会社の業務委託先である税理士法人がランサムウェア攻撃を受け、約6万件の顧客情報が漏えいした可能性があると発表されています。これらの事件はサプライチェーン攻撃の一例であり、企業は自社だけでなく取引先のセキュリティ対策にも注意を払う必要があることを示しています。
2024年最も話題となった株式会社KADOKAWAの被害もランサムウェアによるもので、同社グループデータセンター内の複数のサーバーが暗号化されアクセス不能となりました。データセンターに遠隔アクセスを行うためには従業員のアカウントが必要ですが、その情報はフィッシング攻撃により窃取されたと推測されています。この事例では、各種サービスが停止することで事業継続が危ぶまれる事態になっただけでなく、約25万件の個人情報が漏えいする被害となりました。
今年1年を振り返り、改めて自社の情報セキュリティ対策は万全だったでしょうか? サプライチェーン攻撃の標的にされ、取引先に被害をもたらしてしまえば、取引停止になりかねません。まずは、IPAが提供する「情報セキュリティ自社診断」から行ってみてはいかがでしょうか。
関連リンク
- 令和6年上半期における サイバー空間をめぐる脅威の情勢等について(警察庁サイバー警察局)
- 情報セキュリティ10大脅威 2024(IPA)
- 5分でできる! 情報セキュリティ自社診断 ※記事中にあるオンライン版は終了となりました
情報提供:地域貢献事業部 サイバーセキュリティ担当 藁科 |
セキュリティトピックス最新記事の更新通知は、メールマガジン「サンロフトマガジン」をご利用ください。 |