2024年7月11日、あいおいニッセイ同和損害保険から衝撃的な発表がありました。業務委託先の審調社がランサムウェア攻撃を受け、顧客情報が漏洩した恐れがあるというのです。
フォレンジックアナリストとして数多くのサイバー攻撃事案を調査してきた私の目線から、今回の事件の詳細と企業が取るべき対策について詳しく解説していきます。
事件の概要:委託先企業を狙った巧妙な攻撃
今回の事件は、あいおいニッセイ同和損保本体ではなく、保険金支払いの損害調査業務を委託している審調社(石田浩社長、東京都品川区)が標的となりました。
6月27日、審調社の一部サーバーが第三者による不正アクセスを受け、ランサムウェア被害が発生。攻撃者は同社のシステムに侵入し、データを暗号化して身代金を要求してきたのです。
この手口、実は最近のサイバー攻撃でよく見られるパターンなんです。大手企業を直接狙うのではなく、セキュリティが相対的に弱い委託先企業から侵入し、本命の顧客情報を狙う「サプライチェーン攻撃」という手法です。
ランサムウェア攻撃の実態と被害の深刻さ
現役CSIRTとして多くの企業のインシデント対応を支援してきましたが、ランサムウェア攻撃の被害は年々深刻化しています。
典型的なランサムウェア攻撃の流れは以下の通りです:
- 初期侵入:フィッシングメール、脆弱性攻撃、VPN
を使わない不正リモートアクセスなど - 権限昇格:管理者権限を取得し、システム全体へのアクセスを確保
- 横移動:ネットワーク内の他のシステムに感染を拡大
- データ窃取:暗号化前に重要データを外部に送信
- 暗号化実行:システムとデータを使用不能にする
- 身代金要求:復旧と引き換えに金銭を要求
特に恐ろしいのは、最近の攻撃では「二重恐喝」と呼ばれる手法が使われることです。データを暗号化するだけでなく、事前に機密情報を盗み出し、「身代金を払わなければ情報を公開する」と脅迫してくるのです。
委託先企業が狙われる理由
なぜ攻撃者は委託先企業を狙うのでしょうか?フォレンジック調査の経験から、その理由を解説します。
1. セキュリティ体制の格差
大手企業は豊富な予算でセキュリティ対策を強化していますが、中小企業である委託先は限られた予算で運営されています。アンチウイルスソフト
すら古いバージョンのままだったり、定期的なセキュリティ更新が行われていない場合も多いのです。
2. 信頼関係の悪用
委託先企業は本体企業との間に信頼関係があるため、セキュリティチェックが甘くなりがちです。VPNアクセスや専用回線を通じて本体システムに直接アクセスできる場合も多く、侵入に成功すれば一気に重要情報にアクセスできます。
3. 気づかれにくい
委託先企業でのセキュリティ事故は、本体企業が気づくまでに時間がかかります。その間に攻撃者は情報を盗み出し、より深く侵入を進めることができるのです。
過去の類似事例から学ぶ教訓
実際に私が調査に関わった事例をいくつか紹介します(企業名は伏せます)。
事例1:地方銀行の委託先IT企業への攻撃
地方銀行のシステム運用を委託されたIT企業が攻撃を受けた事例です。攻撃者は委託先の古いVPNサーバーの脆弱性を突いて侵入し、約3万件の顧客情報を窃取しました。被害発覚まで2ヶ月を要し、その間に情報は既に闇市場で売買されていました。
事例2:製造業の物流委託先への攻撃
大手製造業の物流業務を委託された企業が標的となりました。攻撃者は従業員のメールアカウントを乗っ取り、そこから社内ネットワークに侵入。製造業の機密技術情報が流出し、競合他社に悪用される事態となりました。
企業が今すぐ取るべき対策
今回の事件を受けて、企業が取るべき対策を緊急度順に整理しました。
【緊急度:高】即座に実施すべき対策
- 委託先企業のセキュリティ監査:現在の委託先企業のセキュリティ状況を緊急点検
- アクセス権限の見直し:委託先に与えているアクセス権限を必要最小限に制限
- 多要素認証の導入:すべてのリモートアクセスに多要素認証を適用
- Webサイト脆弱性診断サービス
の実施:現在のWebサイトやシステムに脆弱性がないかチェック
【緊急度:中】1ヶ月以内に実施すべき対策
- インシデント対応計画の策定:攻撃を受けた際の対応手順を明文化
- 定期的なセキュリティ教育:従業員と委託先企業の従業員向けセキュリティ研修
- バックアップ体制の強化:オフライン環境でのデータバックアップ
- ネットワーク監視体制の構築:異常なアクセスを即座に検知する仕組み
【緊急度:低】継続的に実施すべき対策
- 定期的な脆弱性診断:年2回以上の定期的なセキュリティ診断
- 委託先企業の定期監査:委託先のセキュリティ状況を定期的にチェック
- 最新の脅威情報収集:常に最新のサイバー攻撃手法を把握
個人でもできる身近な対策
企業だけでなく、個人も標的となる可能性があります。特に在宅勤務が増えた現在、個人のセキュリティ意識が企業全体のセキュリティに直結します。
基本的な個人向け対策
- 信頼できるアンチウイルスソフト
の導入:個人のPCやスマートフォンを守る第一歩
- 安全なVPN
の利用:公共Wi-Fiを使用する際の必須アイテム
- 定期的なパスワード変更:同じパスワードを複数のサービスで使い回さない
- 怪しいメールの判別:フィッシングメールを見分ける目を養う
今後の展望と対策の重要性
サイバー攻撃は今後さらに巧妙化し、AI技術を悪用した新しい攻撃手法も登場するでしょう。企業は「攻撃されるかもしれない」ではなく「必ず攻撃される」という前提で対策を講じる必要があります。
特に委託先企業との連携においては、契約書にセキュリティ要件を明記し、定期的な監査を実施することが不可欠です。
今回のあいおいニッセイ同和損保の事件は、決して他人事ではありません。明日は我が身と思って、今すぐできることから始めてください。
まとめ:プロアクティブなセキュリティ対策を
今回の事件から学ぶべき教訓は明確です:
- 委託先企業のセキュリティも自社のセキュリティの一部
- ランサムウェア攻撃は年々巧妙化している
- 事後対応よりも事前対策が重要
- 個人のセキュリティ意識が企業全体を守る
セキュリティは「コスト」ではなく「投資」です。適切な対策を講じることで、企業の信頼性と継続性を守ることができます。
一人ひとりがセキュリティの重要性を理解し、適切な対策を実践することで、サイバー攻撃から身を守りましょう。
