情報通信研究機構(NICT、エヌアイシーティ)は、情報通信分野を専門とする国内唯一の公的研究機関であり、サイバーセキュリティについても研究開発を進めている。

5月14日~15日に開催された「TECH+フォーラム ODEX併催 セキュリティ 2026 May. 未来を守るセキュリティ戦略会議」にNICTサイバーセキュリティ研究所 研究所長で、サイバーセキュリティネクサス ネクサス長の井上大介氏が登壇。サイバー攻撃の最新の動向を紹介し、日本の企業が考えるべき対策について説明したうえで、NICTが推進する産学官連携の取り組みについても紹介した。

5つの事案からサイバー攻撃の最新動向を知る

講演冒頭で井上氏は、サイバー攻撃の最新の動向について、5つの事案を紹介しながら説明した。

  • 過去18年間の主なセキュリティ事案

    過去18年間の主なセキュリティ事案

医療機関を狙ったランサムウェア

1つ目は、コロナ禍の2020年に医療機関を標的とするランサムウェアが急増したことだ。欧州最大級の病院運営企業・Freseniusは数億円規模の身代金を要求され、デュッセルドルフ大学病院では救急搬送された患者の受け入れができないということがあった。2021年には徳島県つるぎ町立半田病院で、VPN機器経由でランサムウェアに感染した事案も発生。2カ月に渡って電子カルテシステムが停止し、紙による手作業でのオペレーションを余儀なくされた。

トヨタ自動車サプライチェーンへの攻撃

2つ目は、2022年のトヨタ自動車の事案だ。発端は取引先企業の1台のサーバの障害だが、それがトヨタの全工場の操業停止につながった。サプライチェーンの一部に障害が起きると、影響が全体に波及するという例だ。ただ、このときの当事者の対応は素早かった。夜9時過ぎに、取引先企業で社内サーバの1つが停止し、異常を検知。翌朝までに社内の全サーバを停止しネットワークを遮断するという経営判断を下し、そこから3日間という異例のスピードでトヨタは全工場を停止させた。

「セキュリティの事案が起こったときの対応、そしてその後のリカバリーをどうするかによって、組織の評価は大きく変わってくるのです」(井上氏)

DMM Bitcoinで482億円の不正流出

3つ目は、DMM Bitcoinから482億円相当のビットコインが不正流出した2024年の事案だ。警視庁、警察庁が公表したところによれば、北朝鮮のサイバー攻撃グループであるTrader Traitorが関与したもので、攻撃手法はLinkedInを経由した標的型ソーシャルエンジニアリングであった。入出金処理を委託されているGincoの従業員に攻撃者が接触し、高待遇での雇用をちらつかせてスクリプトを実行させた。つまり、システムの脆弱性ではなく人を狙った事案だといえる。

「従業員のセキュリティ教育や倫理教育も考えていかないといけないという教訓です」(井上氏)

アサヒグループHDへのランサムウェア攻撃

4つ目は、2025年のアサヒグループHDへのランサムウェア攻撃だ。システム障害によりグループ各社の受注・出荷業務が停止し、コールセンターの業務も停止した。バックアップはあったがそこからの復旧ができなかったこともあり、市場シェアの大きいビールが数カ月間店頭から消えるなど、影響は長引いた。

「インシデントの際に、迅速に原因を究明し、いかに素早く業務を復旧できるか、つまりサイバーレジリエンスが企業価値を左右する時代になってきています」(井上氏)

最近では、インシデント対応において透明性の高い情報公開は社会貢献であると考えられている。この事案でのアサヒグループHDの対応は、まさにそれを実践したものだった。第1報以降、情報漏えいの可能性、流出の疑いのある情報など、分かったことをその都度公開してきた。さらに記者会見では、社長自らが技術的詳細も含めた仔細を説明。日頃からセキュリティに関する情報を把握していたことがうかがえるうえ、コストや時間の詳細から従業員への気遣いまで言及したことについて、井上氏は「ほぼ満点の会見」と称賛した。

「こういった事案が起きたときに、組織のトップがどういう説明ができるかが非常に重要で、そのことが企業価値にもつながります」(井上氏)

AIによるゼロデイ脆弱性の大量発見、アンソロピック・ショック

5つ目は、直近の話題として衝撃的だった「アンソロピック・ショック」だ。AIを開発する企業であるアンソロピックが自社LLMのClaude Mythosについての評価文書で、全ての主要OSやWebブラウザのゼロデイ脆弱性を大量に発見し、その脆弱性を連鎖させて攻撃経路を構築して、攻撃コードまで自動生成できたと発表。そして悪用された場合のリスクが大きいため一般公開を行わないと判断したのだ。また、Claude Mythosへのアクセス権を持っていた英国の公的機関からは、小規模で脆弱な企業システムなら自律攻撃が可能であることも発表された。さらにその数週間後、非公開であったはずのClaude Mythos Previewへの不正アクセスも確認された。今後は脆弱性をどう管理するかがますます重要な課題になってくる。

「攻撃は多様化し、攻撃対象は拡大して、ほぼ全てが対象になり得る状況です。インシデント発生時には、被害からの復旧能力が企業価値につながってくるということが、近年の事案から読み取れます」(井上氏)

基本的な対策を積み重ね、セキュリティ人材を組織のコアに置く

こうした状況を踏まえると、経営層はセキュリティを理解し、自分事として考えるよう意識を改革することが重要になる。サイバー攻撃は今や経営リスクの“一丁目一番地”とも言える。例えば為替差損で100億の損失を出しても経営陣が謝罪会見をすることはないが、個人情報が数件漏えいしただけで会見が必要になり、株価は暴落する。サイバー攻撃対策はトップマネジメントの責任となっているのだ。

とはいえ、セキュリティ対策のコストは可能な範囲で抑えることが望ましいと井上氏は言う。そのためには外注に頼らず、組織の中のセキュリティ専門家に任せるべきだ。セキュリティ規程類の整備や対策製品の目利き、インシデント対応の指揮などを組織内で行えば、トータルコストは大きく下げることができる。ただし、情報システム部に全てを丸投げするのは間違いだ。情シスを“便利屋”扱いすれば、スキルを身につけた人材から辞めていってしまう。同氏は「人材の適切な処遇とセキュリティ体制の構築が組織を救う」と強調した。

では具体的な対策とは何か。例えばランサムウェアへの対策として、まずバックアップを取ることを考えがちだが、これは間違いだと井上氏は指摘する。バックアップがあっても復旧できない事例は少なくないし、バックアップデータにも何か仕込まれる可能性がある。有効なのは、基本的な対策の積み重ねだ。これはAI時代になっても変わらないことで、例えばセキュリティ規程の策定、情報システム台帳の整備、ネットワーク構成の把握、バックアップを含む対策技術の導入、インシデント対応体制の整備、そして従業員の教育や啓発、自己点検などである。そしてこれらを組織に実装できるセキュリティ人材を配置することが重要だ。

「組織のコアにセキュリティが分かる人材を置くことで組織は強くなります。それと同時にセキュリティのトータルコストも下げることができるのです」(井上氏)

NICTが推進する産学官連携の取り組み

講演の最後に井上氏はNICTの取り組みを紹介した。NICTでは、外部への依存を減らし、組織のセキュリティ自給率を上げてトータルコストを抑制することを目的に、人材育成・産学官連携の取り組みを行っている。

  • NICTサイバーセキュリティ研究所の組織と取り組み

    NICTサイバーセキュリティ研究所の組織と取り組み

ナショナルサイバートレーニングセンターでは、実践的サイバー防御演習「CYDER」を開催。これはインシデント対応をロールプレイ形式で実体験できる演習で、全国47都道府県で実施される集合演習のほかに、初級クラスはオンラインでの受講も可能だ。「SecHack365」は25歳以下の若手に向けたセキュリティイノベーター育成プログラムで、1年をかけて技術や継続力、アイデア発想力、倫理面などの指導を行っている。

NICTの中で107の組織が参画している産学官連携拠点となっているのが「CYNEX」だ。ここではセキュリティ情報の収集や脅威情報の提供、人材育成のノウハウの共有などを行っている。CYNEXのプロジェクトは4つあり、とくに人気があるのが「Co-Nexus C」と呼ばれるプロジェクトだという。これではNICTが用意する教材やハードウェア環境を使って演習を行うことができる。

「NICTでは日本国内のセキュリティ自給率向上を目指し、さまざまな活動を行っています。ぜひ、我々の人材育成、産学官連携の拠点をご活用ください」(井上氏)