M&S史上最悪のサイバー攻撃事件とは
英国の老舗小売大手マークス・アンド・スペンサー(M&S)が2025年4月に受けたサイバー攻撃は、企業のセキュリティ対策の甘さを露呈する事件となりました。この攻撃により、同社は**7週間という長期間にわたってオンラインショッピングサービスの停止**を余儀なくされ、約3億ポンド(約409億円)という巨額の損失を被ったのです。
現役CSIRTメンバーとして数々のインシデント対応を経験してきた私から見ると、この事件は典型的な「準備不足による被害拡大」の事例と言えるでしょう。
攻撃の詳細と被害規模
今回の攻撃では、アジアを拠点とするランサムウェアグループが関与していたとされています。ランサムウェア攻撃の特徴として、以下のような段階を経て被害が拡大します:
- 初期侵入:フィッシングメールや脆弱性を利用した侵入
- 内部偵察:ネットワーク内での権限昇格と情報収集
- データ暗号化:重要システムとデータの暗号化
- 身代金要求:復旧と引き換えに金銭を要求
M&Sの場合、復旧に7週間を要したことから、バックアップシステムの不備や事業継続計画(BCP)の未整備が推測されます。
通報義務化の背景と必要性
M&Sのアーチー・ノーマン会長が英議会委員会で主張した「サイバー攻撃通報義務化」は、決して突発的な提案ではありません。実は、**過去4カ月間に英大手企業への重大なサイバー攻撃が2件発生していたにもかかわらず、いずれも当局に通報されていなかった**という深刻な状況があったのです。
通報されない理由
企業がサイバー攻撃を隠したがる理由は複数あります:
- 風評被害への懸念:株価下落や顧客離れを恐れる
- 法的責任回避:規制当局による処罰を避けたい
- 競合他社への情報漏洩:セキュリティの脆弱性を知られたくない
- 対応コストの増大:調査や対策にかかる費用を抑えたい
しかし、このような「隠蔽体質」こそが、サイバーセキュリティ全体の向上を妨げる最大の要因なのです。
現役CSIRTが見たフォレンジック事例
実際のフォレンジック調査では、攻撃の痕跡を辿ることで多くの事実が明らかになります。私が担当したある中小企業の事例では、以下のような攻撃の流れが判明しました:
事例:製造業A社(従業員200名)のケース
発生時刻:2024年11月15日 午前2時30分
攻撃手法:フィッシングメール経由でのマルウェア感染
被害規模:生産停止3日間、売上損失約2,000万円
フォレンジック調査で判明した事実
- 初期感染:経理部職員が開封した請求書偽装メールが発端
- 権限昇格:感染端末から管理者権限を取得(約6時間後)
- 横展開:社内ネットワークの他端末に感染拡大(12時間後)
- データ暗号化:重要ファイルとバックアップサーバーを暗号化(18時間後)
この事例で特に重要なのは、**適切なアンチウイルスソフト
とネットワーク監視があれば、初期段階で攻撃を食い止められた可能性が高い**ということです。
個人・中小企業が今すぐできる対策
M&Sのような大企業だけでなく、個人事業主や中小企業も同様のリスクにさらされています。以下に、すぐに実践できる対策をレベル別に整理します:
【基本レベル】すべての人に必須の対策
- 信頼性の高いアンチウイルスソフト
の導入:リアルタイム保護と定期スキャン - OSとソフトウェアの定期更新:脆弱性の修正は最重要
- 強固なパスワード管理:パスワードマネージャーの活用
- フィッシングメールの識別訓練:不審なメールへの対応力向上
【中級レベル】業務でPCを使用する人向け
- VPNの活用:公共Wi-Fi利用時は必須、VPN
で通信を暗号化
- 定期的なバックアップ:3-2-1ルール(3つのコピー、2つの異なるメディア、1つは別場所)
- アクセス権限の最小化:必要最小限の権限のみ付与
- ログ監視の仕組み構築:異常なアクセスの早期発見
で通信を暗号化【上級レベル】企業・組織向け
- 多層防御の構築:複数のセキュリティ対策を組み合わせ
- 定期的な脆弱性診断:Webサイト脆弱性診断サービス
による専門的な診断
- インシデント対応計画の策定:発生時の対応手順を明文化
- 従業員教育の徹底:定期的なセキュリティ研修の実施
通報義務化が企業に与える影響
英国で検討されている通報義務化は、企業のセキュリティ対策に大きな変化をもたらす可能性があります。
ポジティブな影響
- 脅威情報の共有促進:攻撃パターンの早期把握
- セキュリティ投資の増加:予防策への積極的な投資
- 業界全体の底上げ:競合他社の対策事例を参考に改善
- 消費者信頼の向上:透明性の高い対応による信頼獲得
懸念される影響
- 初期対応コストの増加:報告書作成や調査費用
- 競争力への影響:セキュリティ情報の開示による不利益
- 過度な規制リスク:業務効率性との両立の難しさ
日本企業への示唆
日本でも、2024年に施行された改正個人情報保護法により、個人情報漏洩時の報告義務が強化されました。しかし、サイバー攻撃全般の通報義務化については、まだ議論の段階にあります。
日本の現状と課題
- 報告制度の限界:現在は業界団体や警察への自主的な報告が中心
- 中小企業の対策不足:リソース不足による対策の遅れ
- サプライチェーンリスク:取引先経由での攻撃の増加
現役CSIRTとして多くの日本企業のインシデント対応を支援してきた経験から言えば、**通報義務化の前に、まず各企業が自社のセキュリティ状況を正確に把握することが最優先**です。
まとめ:今すぐ始められる対策
M&Sの事例は、どんな大企業でもサイバー攻撃の被害を受ける可能性があることを示しています。しかし、適切な対策を講じることで、被害を最小限に抑えることは可能です。
個人・中小企業が今すぐできること:
1. **信頼性の高いアンチウイルスソフト
の導入** – 最低限の防御策
2. **重要データの定期バックアップ** – 被害回復の要
3. **従業員教育の実施** – 人的ミスの防止
4. **専門家による定期診断** – Webサイト脆弱性診断サービス
での脆弱性チェック
サイバーセキュリティは「完璧」を目指すものではなく、「継続的な改善」が重要です。今回の英国の動きを他人事と捉えず、自社・自身のセキュリティ対策を見直す良い機会として活用してください。
一次情報または関連リンク
