政府システムの8割に不備発覚！会計検査院調査が明かすサイバー攻撃の現実と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

こんにちは。フォレンジックアナリストとして日々サイバー攻撃の現場に立ち会っている筆者です。今回、会計検査院から衝撃的な調査結果が発表されました。なんと、国の行政機関がセキュリティ対策を外部委託する際の契約の約8割に不備があったとのこと。正直、「やっぱりか」という気持ちと同時に、これは氷山の一角に過ぎないという危機感を抱いています。

政府機関のセキュリティ対策、なぜこんなにも穴だらけなのか
1. 実際に起きたサイバー攻撃事例から学ぶ
なぜ今、サイバー攻撃が急増しているのか
個人や中小企業も他人事ではない理由
1. ケース1：地方の印刷会社が標的となったランサムウェア攻撃
2. ケース2：個人情報が闇サイトで売買された会計事務所
今すぐ取るべきセキュリティ対策
1. 個人レベルでの対策
2. 企業レベルでの対策
契約時にチェックすべき7つのポイント
まとめ：サイバーセキュリティは投資、コストではない
一次情報または関連リンク

政府機関のセキュリティ対策、なぜこんなにも穴だらけなのか

会計検査院の調査によると、2021～2023年度の委託契約1351件のうち、なんと83%にあたる1119件で不備が見つかりました。特に深刻なのは、4割にあたる546件で「契約の履行状況を確認する方法」が示されていなかったことです。

これ、フォレンジック調査の現場からすると本当に恐ろしい話なんです。なぜなら、攻撃者は必ずこうした「管理の隙間」を狙ってくるからです。私が過去に調査したランサムウェア事件でも、多くのケースで「管理体制の不備」が攻撃の入り口となっていました。

実際に起きたサイバー攻撃事例から学ぶ

記事でも触れられていますが、大阪急性期・総合医療センターでのランサムウェア攻撃は典型的な「サプライチェーン攻撃」の例です。給食業者のシステム経由で病院に侵入し、電子カルテシステムを麻痺させました。この事件では外来診療が完全停止となり、患者さんの命に関わる重大な事態となりました。

また、国土交通省近畿地方整備局の河川監視カメラ261台への不正アクセスも、梅雨という最も重要な時期に水害監視機能を失うという深刻な事態を招きました。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

なぜ今、サイバー攻撃が急増しているのか

行政機関などへのサイバー攻撃は2024年度に238件と、2021年度の約6倍に急増しています。これには複数の要因があります：

攻撃手法の高度化：AIを活用した攻撃ツールの普及
ダークウェブでのサービス化：素人でも簡単に攻撃できるツールの販売
政治的緊張：国家レベルでのサイバー戦争の激化
在宅ワークの普及：セキュリティ境界の曖昧化

特に注意すべきは、攻撃者たちが「最も弱いリンク」を狙ってくることです。大手企業のセキュリティが強化されれば、その取引先や関連企業を狙う。政府機関が直接攻撃できなければ、委託業者を経由して侵入を試みる。これがサプライチェーン攻撃の恐ろしさです。

個人や中小企業も他人事ではない理由

「政府機関の話でしょ？うちには関係ない」と思われるかもしれませんが、それは大きな間違いです。実際に私が調査した事例をご紹介しましょう。

ケース1：地方の印刷会社が標的となったランサムウェア攻撃

従業員20名程度の印刷会社が、大手企業の機密文書印刷を請け負っていました。攻撃者はこの印刷会社のセキュリティの甘さを狙い、ランサムウェアを仕込んで機密文書を盗み出しました。結果的に大手企業からの契約を失い、会社は倒産に追い込まれました。

ケース2：個人情報が闇サイトで売買された会計事務所

クライアントの個人情報を大量に保有している会計事務所が、古いバージョンの会計ソフトの脆弱性を突かれました。顧客の住所、電話番号、収入情報などが闇サイトで売買され、複数のクライアントから損害賠償を請求される事態となりました。

今すぐ取るべきセキュリティ対策

こうした現実を踏まえ、個人や企業が今すぐ取るべき対策をお伝えします。

個人レベルでの対策

まず最も重要なのは、信頼できるアンチウイルスソフトの導入です。無料のものではなく、リアルタイム監視機能やランサムウェア対策機能を持った製品を選んでください。特に在宅ワークが多い方は、企業のネットワークに接続する前に、自宅のPCが清潔な状態であることを確認することが重要です。

また、公共Wi-Fiや怪しいネットワークを使う機会が多い場合は、VPN の利用も必須です。通信内容を暗号化することで、中間者攻撃やデータ盗聴から身を守ることができます。

企業レベルでの対策

中小企業の経営者の方には、特に注意していただきたいポイントがあります。政府機関や大企業との取引がある場合、あなたの会社は「攻撃の入り口」として狙われる可能性が高いのです。

定期的なWebサイト脆弱性診断サービスの実施は、もはや必須と言えるでしょう。自社のWebサイトやシステムに脆弱性がないか、外部の専門機関にチェックしてもらうことで、攻撃者に付け入る隙を与えないようにできます。

契約時にチェックすべき7つのポイント

今回の会計検査院の指摘を受けて、IT関連の業務を外部委託する際には以下の7項目を必ず契約書に盛り込むようにしましょう：

委託先の管理体制の明確化
重大事態への対処方法
目的外利用の禁止
契約履行状況の確認方法
インシデント発生時の報告義務
データの保存・削除に関する取り決め
定期的なセキュリティ監査の実施

これらの項目が曖昧だったり欠けていたりする契約は、将来的に大きなリスクとなる可能性があります。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

まとめ：サイバーセキュリティは投資、コストではない

政府機関でさえこれだけセキュリティ対策に穴があるという現実を見ると、私たち個人や中小企業がいかに脆弱な状態にあるかがよく分かります。しかし、これを「怖い話」として片付けるのではなく、「今すぐ行動すべき警告」として受け取ってほしいのです。

サイバーセキュリティは単なるコストではありません。事業継続のための重要な投資です。一度大きなサイバー攻撃を受けてしまえば、その復旧コストや信頼失墜による損失は、事前対策費用の何十倍にもなることが珍しくありません。

国が「能動的サイバー防御」を掲げて対策を強化している今、私たち一人一人も受け身の姿勢から脱却し、積極的にセキュリティ対策を講じる必要があります。明日では遅いかもしれません。今すぐ行動しましょう。