情報処理推進機構(IPA)は2006年から「情報セキュリティ10大脅威」を発表している。これは前年に発生し社会的に影響が大きかった情報セキュリティのインシデントの中からIPAが候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者などからなる選考会メンバーの審議・投票を経て決定するものだ。
5月14日~15日に開催された「TECH+フォーラム ODEX併催 セキュリティ 2026 May. 未来を守るセキュリティ戦略会議」に、IPA セキュリティセンター 情報分析官の川口修司氏が登壇。2026年版の「情報セキュリティ10大脅威」の内容に沿って、昨今の脅威の動向やその対策について説明した。
ランサムウェアは「経営判断の連続」
講演冒頭で川口氏は、2024年~2026年までの3年間に発表された脅威のランキングを紹介した。1位は「ランサムウェア攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」で、この順位は3年間不動だ。2026年に新たにランクインしたのが3位の「AIの利用をめぐるサイバーリスク」で、「地政学的リスクに起因するサイバー攻撃」も昨年の7位から6位に順位を上げている。
-
2024年~2026年の「情報セキュリティ10大脅威」
1位のランサムウェア攻撃が厄介なのは、事案が発覚した直後から多くの決断を迫られることだ。システムが停止し、場合によっては業務も停止せざるを得ないという状況の中で、「データを復号したければ身代金を支払え」という脅迫が届く。他の脅威のように、攻撃を検知してから慎重に調査を行う時間的余裕はない。業務をどう継続するかの検討、システム被害の調査、身代金を支払うかどうかの判断、取引先や顧客への説明、所管省庁への報告、公表など、やらなければならないことが一度に押し寄せてくる。身代金を支払っても復号できないケース、一度支払ってしまうと“脅せば金を出す”と見なされて繰り返し狙われるケースもある。その一方、支払わなければバックアップから復号するしかないが、業務をスムーズに復旧できるとは限らないし、場合によってはシステムの再構築が必要になる。
ランサムウェア攻撃の被害としては、大手飲料メーカーの事例が記憶に新しい。受注・出荷システムに障害が発生したが、その影響で工場の稼働も停止し、システムによる出荷業務再開までの2カ月間は現場が手作業で出荷データを管理したという。また、ネット小売事業者の事例では、業務委託先の管理者アカウントが盗まれて侵入された結果、自社ECサイトが停止しただけでなく、取引先から委託されたECサービスや重要な医療物資の流通にまで影響が及んだ。さらに英国の事例では、自動車メーカーの生産、受発注・物流システム等が停止し、サプライチェーンにも深刻な影響が及んだため、政府が資金繰りの支援を表明する事態となった。
ランサムウェア被害の影響は深刻な規模になることが多い。警察庁の調査によると、被害に遭った企業の半数以上が復旧に1週間以上を要した。また、調査や復旧の費用については6割以上が500万円以上かかっており、億単位になったとする回答も見られる。
被害を最小限にするためには、事前に準備しておく必要がある。例えばCSIRTなどの緊急対応体制を整え、BCP(業務継続計画)を策定してあらかじめ有事の優先業務や継続の方法を決めておくことだ。もちろんバックアップも重要だが、バックアップしていれば安心というわけではない。リアルタイムにバックアップを作成するシステムでは、バックアップデータも暗号化されてしまうことがある。また、バックアップ管理サーバの時計がずれていると、どの時点のデータが汚染されていないのか分からなくなるため、ここにも注意が必要だ。
考慮すべきなのは、システムの復旧と業務の復旧は必ずしもイコールではないということだ。システムは復旧できてもすぐには業務を復旧できないケースもある。さらに、業務継続と原因究明は両立できない可能性があることも頭に入れておきたい。どちらを優先するかは経営判断ということになる。
サプライチェーン攻撃は他社にも被害を広げる
サプライチェーンや委託先を狙う攻撃は、正面から侵入ができない堅牢な標的に対して、サプライチェーンの中のセキュリティ対策が甘いところを狙ったものだ。調達、製造、物流、販売、委託といった取引サプライチェーンを狙うだけでなく、ソフトウェアの開発、販売、運用などのソフトウェアサプライチェーンを狙うものもある。ソフトウェアサプライチェーンの悪用事例としては、配布されるJavaScriptにマルウェアが混入し、拡散されたケースが発生した。
川口氏は「サプライチェーンに対する攻撃は、自社だけでなくサプライチェーン全体にまで影響することを考えておく必要がある」と話す。委託先が攻撃されサービスが停止すれば、その影響で自社サービスを停止せざるを得ないこともある。また業務委託先から重要情報が漏えいすると、委託元の企業や団体全てがダメージを受ける。つまり自社だけが対策をしていても被害に遭うことがあるし、自社が被害者であってもそこが取引先への加害の起点になる場合もある。インシデントの2割ほどが、取引先やグループ会社経由の侵入が原因だとする調査報告もある。
標的型攻撃の背後にある地政学リスク
「機密情報を狙う標的型攻撃」は、「地政学的リスクに起因する攻撃」、つまり国家を背景とする攻撃と表裏一体をなすものと考えられる。例えば、機能破壊を狙うVolt Typhoonや、情報を窃取しようとするMirror Face、暗号資産を奪おうとするTrader Traitor、そのほかDDoS攻撃や、偽情報を流して世論を誘導しようとする攻撃が「地政学的リスクに起因する攻撃」に含まれる。
Mirror Faceは、狙ったゾーンに向けてメールやネットワーク貫通攻撃などを執拗に何度も攻撃を仕掛けてくることが知られている。標的型メール攻撃は不特定多数に対してばらまくのではなく特定の相手を狙って送られるもので、メールのタイトルも標的の関心を引くように工夫されている。文章もAIによって不自然さがなくなっているため、攻撃であることを見極めるのは容易ではない。
さらに、クラウドのアカウント管理も狙われるようになっている。クラウドサービスのIDやパスワードを盗めば正規のアクセスとして入り込むことができ、入ってしまえばやりたい放題にできる。形式上では正規アクセスなので、リアルタイム検知は難しいのが問題だ。
AIが変える攻撃と防御の構図
生成AI関連のリスクも昨今注目を集めている。技術が急速に進化し、リアルな映像や音声を生成できるため、フェイク動画を見抜くのも難しくなっている。さらに、普通の報道サイトに見えるが実は他国の影響下にあるフェイクメディアは、日本でもすでに9つのドメインが確認されているそうだ。
AIについては、事実ではない回答をするハルシネーションや、機密情報の漏えいなどのリスクが指摘されているが、それだけではない。AIによって脆弱性を発見し、攻撃につなげる手法がすでに急増している。守る側もAIで脆弱性を発見して対策を講じればよいのだが、攻撃の数が増えるとそれも追いつかなくなる。将来的には、ある日突然必要なパッチが大量に出てくることも考えられる。そうした事態に備えておくことも考えるべきだろう。
セキュリティは経営課題の時代へ
効果的な対策について川口氏は、「目新しいことではなく、基本的な対策が重要だ」と説明する。脅威は多数あっても、パスワードの窃取やソフトウェアの脆弱性悪用、ウイルス感染、設定不備の悪用、誘導など攻撃の手口は似ている。そのため、パスワードの適切な管理、認証強化、ソフトウェアの更新、設定の見直し、脅威・手口の把握など、情報セキュリティ対策の基本に取り組むことが重要なのだ。またクラウドサービスについては、急にサービスが停止したり、仕様が変更されたりした場合の対処を考えておくことも必要だ。
さらに今後は、こうした技術的な対策だけでなく、経営者のセキュリティガバナンスが重要になると同氏は指摘する。ITやセキュリティについて理解したうえで、方針を正しく決定し、リスクや対策の現況を把握する。そしてインシデント発生時には被害や影響を把握し、必要な経営判断をしなければならない。
「パイロットのような能力、計器のメッセージを正しく読み取り、リスクを適切に管理し、異常を検知したら瞬時に判断し対処するといった資質がこれからの経営者には求められます」(川口氏)
10年で桁違いに巧妙化したサイバー脅威 - EmEditor開発者が2度目のアワード受賞で語る、サプライチェーン攻撃のリアル
