2025年8月31日に発生したジャガー・ランドローバー(JLR)へのサイバー攻撃が、英国経済に推定19億英ポンド(約25億米ドル)という甚大な損害を与えていたことが、サイバー・モニタリング・センター(CMC)の分析によって明らかになりました。この攻撃は「英国史上最も経済的な打撃を与えたサイバー攻撃」と位置づけられており、その影響の深刻さに多くの企業が震撼しています。
サプライチェーン攻撃の恐怖:一つの攻撃が5,000社に波及
今回のJLRへの攻撃で最も注目すべきは、その波及効果の大きさです。攻撃の影響を受けた組織は5,000以上に及び、多くのサプライヤーが破綻の危機に陥る事態となりました。
JLR製品は昨年、英国全体の製品輸出の約4%を占める重要な存在でした。一つの企業への攻撃が、これほどまでに広範囲な経済的影響を与える現実は、現代のサプライチェーン攻撃の恐ろしさを如実に物語っています。
フォレンジック調査で見えた攻撃の実態
私がこれまで担当してきたサプライチェーン攻撃の事例では、攻撃者は最初のターゲット企業を踏み台として、より価値の高い標的企業へアクセスすることが多いのです。JLRのケースでも、1ヶ月以上にわたって生産活動が停止したことから、攻撃者が相当な準備期間を経て実行した可能性が高いと考えられます。
Adobe Commerce(旧Magento)の危険な脆弱性が悪用開始
一方、eコマース業界では別の深刻な脅威が現実化しています。Adobe CommerceプラットフォームのSessionReaper脆弱性(CVE-2025-54236)の悪用が始まっているのです。
この脆弱性は「Magento製品史上最も深刻なセキュリティバグの1つ」と評されており、攻撃者がユーザーの操作なしにアカウントセッションを乗っ取ることができる危険なものです。特に懸念されるのは、Magentoオンラインストアの62%がセキュリティアップデートを適用していない現状です。
中小企業のECサイトが狙われる理由
私の経験では、中小企業のECサイトは大企業と比べてセキュリティ対策が後回しになりがちです。SessionReaper脆弱性の場合、攻撃者は顧客の個人情報やクレジットカード情報を盗み取る可能性があり、被害企業は信頼失墜と巨額の賠償責任を負うリスクがあります。
個人・企業が今すぐ取るべき対策
個人ユーザーの対策
まず、信頼性の高いアンチウイルスソフト
を導入することが基本です。マルウェアやフィッシング攻撃からデバイスを守ることで、攻撃の入り口を塞ぐことができます。
また、オンラインでの活動が増えている今、VPN
の利用も重要です。特に公共Wi-Fiを利用する際や、機密性の高い業務を行う場合には必須のツールといえるでしょう。
企業の対策
企業、特にWebサイトを運営している組織には、定期的なWebサイト脆弱性診断サービス
の実施を強く推奨します。JLRの事例からも分かるように、一度攻撃を受けると復旧までに長期間を要し、その間の経済損失は計り知れません。
サイバー攻撃の被害を最小化する心構え
今回のJLRの事例は、どんな大企業でもサイバー攻撃の標的となり得ることを示しています。重要なのは「攻撃を完全に防ぐ」ことよりも、「攻撃を受けた際の影響を最小化する」ことです。
定期的なバックアップの取得、インシデント対応計画の策定、そして何より従業員への継続的なセキュリティ教育が、被害を抑える鍵となります。
まとめ:サイバーセキュリティは経営課題
JLRへの攻撃による25億ドルの経済損失は、サイバーセキュリティがもはや単なるIT部門の課題ではなく、経営の根幹に関わる問題であることを明確に示しています。Adobe Commerceの脆弱性悪用の開始も含め、2025年のサイバー脅威は新たな段階に入ったといえるでしょう。
個人も企業も、今こそ真剣にセキュリティ対策を見直し、実行に移すタイミングです。後悔する前に、できることから始めましょう。
