主体に応じ多様化する攻撃手法

　一口にサイバー攻撃といっても、仕掛けてくる主体はさまざまで当然その手法も多岐にわたります。主体を大きく分類すると、

① 国家の支援を受けたグループ（ＡＰＴ（Advanced PersistentThreat）攻撃グループ）。国家から直接支援を受けた組織が、重要インフラや先端技術の情報を保有する組織・企業等を標的とするもので、攻撃に関するコストは度外視、あくまでミッション達成のため執拗に高度で継続的な攻撃を仕掛けてくることが特徴です。発見も防止も最も難しいグループです。

② サイバー犯罪組織。情報等を盗んで現金化を図るという、単純に経済的利益を目的とした類型で、その被害総額は２０１８年時点で既に60兆円に上るという調査結果もあるようです。犯罪ツールの制作・販売、攻撃起点の時間貸しなど既にある種の市場形成、エコシステムが成長しており、さまざまな犯罪サービスの分業化が進展しています。民間企業においては、このグループからの被害が最も多いと推察される一方、適切な対策を講じれば、かなりの攻撃を防ぐことも可能と思われます。

③ ハクティビスト。これは「アクティビスト（活動家）」と「ハッカー」を掛け合わせた言葉で、サイバー攻撃を通じて社会的・政治的主張やメッセージを発信するグループです。

④ 悪意のある個人。愉快犯や腕試し等が含まれます。

⑤ 産業スパイ。知的財産の窃取などを目的に攻撃を仕掛けてきます。

　これらの類型に基づき日本の行政機構や企業が各種サイバー攻撃に見舞われています。ここ１～２年の事例を見ても多様な分野の企業が攻撃を受け、Ｗｅｂサービスの停止、受注・出荷業務停止、主要工場における生産の停止等、多くの事業活動への甚大な被害が発生しました。大規模な個人情報漏洩に発展するケースも後を絶ちません。また中国の関与が疑われるグループによって、日本の安全保障や先端技術に係る機微情報窃取を目的とした攻撃キャンペーンが展開されているとして、25年1月に警察庁等から注意喚起が発せられました。さらに、重要インフラの機能停止につながるような攻撃の発生も、懸念されるところです。

さらなる高度化、活発化リスク

　攻撃の種類の中では、やはりランサムウェアが数も多く、国内でもビジネス活動に大きな影響を及ぼす事案が発生しています。特に最近の攻撃においては、①二重の脅迫の手法が主流、②攻撃プロセスの分業化・組織化、③規模・業種を問わず幅広い攻撃対象、④技術の進化、等が特徴として挙げられます。もちろん捜査機関が国際連携も含めて犯人逮捕等の成果を上げているのですが、犯罪組織もまたそれ以上に活発化しているのが現状です。

　攻撃の手順としてはおおよそ、偵察すなわち脆弱性情報の入手から始まり、フィッシングメールによるマルウェア感染等の初期侵入、そして認証情報を窃取し横展開や権限昇格を図り、データを窃取・暗号化した上で金銭を要求する、というのが一般的な流れとなります。従って金銭要求される前の各過程で攻撃を防ぐには、基本的ではありますが脆弱性の管理やアクセスの強化、侵入検知システムの導入、窃取されてもすぐ復旧できるようデータのバックアップ確保等の対策を講じる必要があります。

　そしてこうしたサイバー攻撃は、ＡＩなどデジタル技術の発展によって今後ますます増加するとともに高度化・複雑化の一途をたどると想定されます。例えば生成ＡＩの利用によって、フィッシングメールが非常に効率的かつ巧妙につくられるようになり、その結果フィッシングの報告件数は現在急増しています。さらに各国で開発が進む量子コンピュータが悪用されると、既存の暗号アルゴリズムが危殆化する恐れも指摘されています。早晩、こうした技術への対応も求められるようになるでしょう。

　また地政学リスクが増大すると、連動して安全保障に関するサイバー攻撃の脅威も高まります。各国間の緊張が高まると、冒頭の「国家の支援を受けたグループ」による敵対国・仮想敵国へのサイバー攻撃も必然的に増加するというわけです。22年２月のロシアによるウクライナ侵攻が始まる直前、ロシアはあらかじめウクライナの電力および通信システムへサイバー攻撃を仕掛けていました。このように現代の戦争は、サイバーとリアルが融合するハイブリッドの様態を成すことが分かります。日本も例外ではなくここ数年、ＮＩＳＣやＪＡＸＡなど政府機関に対し不正通信や不正アクセスなどの攻撃事案が発生しました。

　一方、一般の企業の感覚からすると地政学リスクというとあまり現実感が湧かないかもしれませんが、実は中小企業にとってもサイバー攻撃は他人事ではありません。実際に最新の調査では、ランサムウェアの被害件数のうち３分の２を中小企業が占めていました。一たび攻撃を受けるとその調査・復旧が高額化・長期化するなど、事業活動に深刻な影響が生じる場合があります。同時にサイバー攻撃の被害は自社だけでなく、顧客や取引先も対象となり得るため、自社を防御するだけでは済まないのが現状です。

セキュリティ施策を構成する四つの柱

　こうした現状に対し、日本政府はどのようなサイバーセキュリティ体制で対応しようとしているのか。

　遡ると22年12月に閣議決定された「国家安全保障戦略」において、サイバー戦略の対応能力を欧米主要国と同等以上に向上させるとの目標に向け、「官民連携の強化」、「通信情報の利用」、「攻撃者のサーバ等への侵入・無害化、ＮＩＳＣの発展的改組とサイバー安全保障分野の政策を一元的に総合調整する新たな組織の設置」等の具体案が示されました。

　ポイントとして、「官民連携」では例えば、基幹インフラ事業者がサイバー攻撃を受けたときは政府に報告を義務付ける、政府から必要な情報を民間に提供する、といった対策を行うこととなりました。「通信情報の利用」については、通信事業者の回線を流れる情報を政府が活用し、攻撃サーバの特定を図る等の事務を可能としました。そして攻撃サーバが特定されたら警察や自衛隊が「アクセス・無害化措置」を講じます。同法は26年10月より施行開始の予定ですので、それに向けて基本方針策定などの準備を進めているところです。

　この法整備をもとに、25年５月に「サイバー対処能力強化法及び同整備法」が成立、同７月より内閣総理大臣を本部長として全閣僚が出席するサイバーセキュリティ戦略本部の下、国家サイバー統括室（ＮＣＯ）が総合調整を行い、各省庁が所管分野におけるサイバーセキュリティ政策を担う、という体制が再構築されました。その中で経産省は、中小企業をはじめ産業界向けのサイバーセキュリティ政策を担当しています。

　その経産省では、以下の四つの柱によって、産業界に対するサイバー攻撃の被害、事業活動への影響の最小化を図っています。

　①サプライチェーン全体での対策強化。現在さまざまなガイドラインを作成し、また中小企業向け政策プログラムを実施しています。

　②セキュア・バイ・デザインの実践。安全なＩｏＴ機器やデジタル製品、ソフトウエアの普及に向け認証制度や安全開発に向けたガイドラインを策定します。

　③政府全体でのサイバーセキュリティ対応体制の強化。自社対応を超える攻撃事案の場合、ＩＰＡ（（独）情報処理推進機構）が支援にあたるなど国のサポート体制を強化しています。

　④サイバーセキュリティ供給能力の強化。国内でサイバーセキュリティを実施するのに必要な産業および技術基盤、人材育成と確保、それに向けたエコシステムの構築などを図っています。