セキュリティ対策のレベルが企業の取引に影響
昨年大きな注目を集めた、アサヒグループホールディングス(GHD)やアスクルなどのラインサムウェア被害。アサヒGHDは2か月システムが受注システムが停止し売上は前年比2割弱減、アスクルは被害後1カ月の売上は前年比で9割減となった。
トレンドマイクロがまとめた調査によれば、2025年の1~11月のランサムウェア攻撃被害公表は78件と昨年並みだが、事業停止と復旧に数カ月を有するような内容の重い被害事例が増えてきている。
「うちの会社は攻撃を受けても取られるものはないとおっしゃる経営者もおられます。しかし、今はサプライチェーンで企業同士が繋がっているため、そこを経由しウィルスに感染してしまったら、全体に影響を及ぼす。場合によっては今後の取引中止にもなりかねない」とトレンドマイクロ副社長の大三川彰彦氏は警鐘を鳴らす。それほど、サイバー攻撃は、企業の存続性に大きく影響を与える極めてリスクの高い事案だ。
こうした流れの中で、自社のセキュリティマネジメントにおいて、取引先のリスクを確認したくても、発注元企業は取引先企業がどの程度セキュリティ対策を行っているか判断が困難である。そこで、経済産業省はセキュリティ対策の評価制度構築を進め、2026年下期から運用開始を予定するなど、国も動き始めている。(「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」)
つまり、商品やサービスの良さ以外に、セキュリティ対策のレベルが今後取引や受注に大きく影響を及ぼすようになる。これまで中小企業や病院などでは、「やらないといけないのはわかってはいるが、費用を捻出する余裕がない」と重い腰が上がらない状態が続いてきた。しかしサイバーセキュリティ対策が受注に関わるということになれば、今後は企業存続のためやらざるを得なくなる。
ANAの演習事例
経営者に求められるのはサイバーセキュリティに関する知識だけではなく、実際に事件が起きた際に社員が動ける社内体制の構築だ。
トレンドマイクロではソフトウェアの販売だけでなく、経営層、管理者層、実務者層に対する企業向け研修も行う。研修を行ったANAホールディングス(ANAHD)のセキュリティ対策の一例を覗くと、同社内ではインシデント対応体制を組織しセキュリティイベント発生時の実践的な演習を行っている。
トレンドマイクロ社が開発したコンテンツを使い、システムが停止したときの影響力や、身代金を払うか払わないかを含めた議論をそれぞれの管轄の立場で行い、自分事化する。本社だけでなく、関連企業において同様の演習を行った。
ANAHD側は「演習では、それぞれの役員からの意見や議論を通じて経営層の中でも意識統一が図れた点が良かった」とフィードバックしている。(出典:同社レポート)
サイバー攻撃の被害を受けた際には断片的な情報が飛び交い切迫した状況下で、トップは素早く高度な経営判断が求められる。普段から役員を含め全体でのすり合わせができていないと判断を誤る、または判断に時間がかかり多大な損害を被ることになる。こうしたリアルな演習は1つの有効策だろう。
AI技術を悪用した「社長なりすまし」詐欺が多発
警戒すべきは企業のシステムを停止させるような攻撃だけではない。企業の担当者を狙い、「至急2000万円、ここに振り込みをお願い」というようなメールを、同社の社長になりすまして経理担当者に送信し、数千万円をだまし取るという事例が今、全国で急増している。
北海道では、社長になりすました人物から同社の経理担当者へ連絡が入り実際に8000万円を振り込ませた事件が発生。昨年12月以降、東京都内で同様の件が約20件確認されており、被害総額は1億円超。12月以降の件数増加を受けて、1月警視庁はHP上で注意喚起をした。
攻撃は電話やメールだけではない。2024年2月、詐欺グループが香港のある多国籍企業のビデオ会議において、ディープフェイク技術を悪用して同社の最高財務責任者(CFO)になりすまし、2500万米ドル(約38億円)を送金させた事件が発生した。社員たちはビデオ会議の画面上で話していた社長をAIでつくった偽物だとは見抜けなかった象徴的な事件である。
「該当者の写真をインターネット上などから入手し、リアルタイムにビデオ会議などで別人に成りすますことは、映像だけであれば、知識をそれ程持たない者でも容易に成りすますことが可能。リアルタイムの音声変換は、2か月前に検証した際はあまり精度がよくなかったが、AIによる学習次第で精度が変わってくるため、日々向上している」とトレンドマイクロシニアスペシャリストの高橋昌也氏。こうした対策に、同社では、法人、個人向けにディープフェイクを検出するソリューションの提供も行う。
経営トップが社内においての重要な指示をFace to Faceで全て行うということも現実的ではない。
「技術的な対策に合わせて組織的、仕組み的な対策(例えば、経営層がすぐに費用を振り込んで欲しいといっても、適切なメンバーの承認を通す送金体制等)があわせて重要」(同)
国内外の組織や警察機関と密に連携しながら事業を行うトレンドマイクロ。デジタル社会の安全、安心、確保へ向けて縁の下の力持ちとして闘う同社である。
