損保ジャパンが不正アクセス被害で金融庁から報告徴求命令を受領、企業に求められるセキュリティ対策とは

脅威ニュース

2025.06.22

2025年6月、損害保険ジャパン株式会社が金融庁から報告徴求命令を受領したというニュースが業界に衝撃を与えました。4月に発生した不正アクセス事件の詳細が明らかになるにつれ、企業のサイバーセキュリティ対策の重要性が改めて浮き彫りになっています。

事件の概要と影響範囲

今回の事件では、4月17日から21日までの約4日間にわたって、外部の攻撃者が損保ジャパンの社内Webシステムに不正侵入していました。この期間中、顧客情報への不正アクセスが可能な状態が続いており、情報漏えいの可能性が完全には否定できない状況となっています。

特に注目すべき点は、攻撃が発覚するまでに数日間を要していることです。これは多くの企業が直面している現実的な課題で、サイバー攻撃の検知と対応には高度な技術と体制が必要であることを示しています。

大手保険会社での事例というと「うちは関係ない」と思われがちですが、実際には中小企業でも同様の被害は頻繁に発生しています。

例えば、地方の製造業A社では、従業員のメールアカウントが乗っ取られ、そこから社内システムへの侵入を許してしまった事例があります。攻撃者は約2週間にわたって社内ネットワークに潜伏し、顧客データベースや設計図面などの機密情報にアクセスしていました。

また、個人事業主のB氏は、クライアントとのやり取りに使用していたクラウドストレージが不正アクセスを受け、複数の企業の機密文書が漏えいする事態に発展しました。結果として、損害賠償請求を受け、事業継続が困難になるケースも実際に発生しています。

私たちCSIRTが実際のインシデント対応で行うデジタルフォレンジック調査では、攻撃者の手口が年々巧妙化していることが明らかになっています。

最近の傾向として、攻撃者は初期侵入後、できるだけ長期間にわたって標的のネットワーク内に潜伏し、段階的に権限を拡大していく手法を取ります。これを「APT（Advanced Persistent Threat）」と呼びますが、発見までの平均滞留時間は約200日というデータもあります。

損保ジャパンの事例でも、4日間という比較的短期間で発覚したのは、むしろ幸運だったと言えるかもしれません。多くの場合、攻撃者はより長期間にわたって活動を続けています。

大企業と同レベルのセキュリティ体制を構築するのは現実的ではありませんが、基本的な対策を確実に実施することで、多くの攻撃を防ぐことができます。

最も重要なのは、すべてのデバイスに高品質なアンチウイルスソフトを導入することです。従来のパターンマッチング型だけでなく、AI技術を活用した行動分析機能を持つソリューションを選択することが重要です。これらの製品は、未知のマルウェアや標的型攻撃にも対応できる能力を持っています。

リモートワークが一般的になった現在、公衆Wi-Fiや不安定なネットワーク環境での作業が増えています。VPN を使用することで、通信内容の盗聴や改ざんを防ぎ、企業の機密情報を保護することができます。特に、外出先からクラウドサービスにアクセスする際は必須の対策と言えるでしょう。

セキュリティは単一の製品で完璧になることはありません。アンチウイルスソフトによる端末保護、VPN による通信保護、そして従業員教育を組み合わせた多層防御が効果的です。

完璧な防御は不可能である以上、万が一の事態に備えた準備も重要です。インシデント対応計画の策定、重要データのバックアップ、そして信頼できるフォレンジック業者との事前契約などが挙げられます。

損保ジャパンのような大企業でも不正アクセスを完全に防ぐことは困難でしたが、適切な検知システムと迅速な対応により、被害を最小限に抑えることができました。この点は、すべての組織が学ぶべき教訓です。

今回の損保ジャパンの事例は、どれほど大きな組織であってもサイバー攻撃のリスクから逃れることはできないことを示しています。しかし、適切な技術的対策と組織的な準備により、被害を大幅に軽減することは可能です。

個人事業主から中小企業まで、規模に関係なく基本的なセキュリティ対策を実施し、継続的に改善していくことが、デジタル時代のビジネスを守る鍵となります。