2,000を超える不正アクセスを検知 サプライチェーンリスクが浮き彫りに、IPA調査

2023年9月8日

サイバーリスクマネジメント

独立行政法人 情報処理推進機構(IPA)は2023年4月25日、「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書を公表しました。調査期間中、対象企業に設置したUTM*やEDR**などのセキュリティ装置から2,000を超える不正アクセスを検知し、サプライチェーンの弱点を突いた攻撃の増加を裏付けた形となります。

中小企業等に対するサイバー攻撃の実態

本調査は、サプライチェーン全体のサイバーセキュリティ対策強化のために必要な対策や、その実装に向けて有効な業界全体としての取組の検討に供する目的のもと実施されました。外部からの情報窃取や取引先企業への攻撃の足掛かりとしてのサイバー攻撃を受けるおそれが大きいと考えられる経済安全保障上重要となる「半導体」、「自動車部品」、「航空部品」の3分野の中小企業、及び防衛装備庁の紹介企業3者を加えた43者を選定し、①セキュリティ専門家によるヒアリング、②対象中小企業等におけるネットワーク環境、およびセキュリティ対策状況について現況調査、③メールセキュリティ意識調査を実施しました。

調査期間中(2022年11月~2023年1月)に対象企業に設置したUTMやEDRの検知結果は以下のとおりです。3か月間の調査期間において2,008件もの不正アクセスと疑われる挙動***を検知しています。

IPAは2019年度と2020年度に中小企業におけるセキュリティ対策状況と攻撃の実態把握を目的とした「サイバーセキュリティお助け隊」実証事業****を実施し、中小企業において①サイバー攻撃への対策、②セキュリティ対策における人的リソース、③セキュリティ対策への予算割り当て、④セキュリティに対する情報が不足していることが明らかになりました。これらを踏まえて、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としてまとめた「サイバーセキュリティお助け隊サービス基準」を2021年2月に策定・公表しています。2023年5月時点で当該基準を満たしたサービスは30事業者・35サービスありますが、当該サービスを導入した国内企業はようやく1,000社になったといいます。

セキュリティ対策の強固な企業等は直接攻撃せずに、それ以外のセキュリティ対策が脆弱なサプライチェーン上の企業等を最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業等、本命の標的を狙う攻撃が増加しています。企業個々だけではなく、業界全体としての対策の取り組みが急務です。

* 様々なセキュリティ脅威対策をひとまとめにした統合脅威管理のセキュリティ機器。ルータ配下に専用機器を設置することでネットワークの出入り口を監視し、不正通信を検知・遮断する。

** エージェントによる自動検知とアナリストによる分析・検知により、マルウェアの振舞いやPC端末の不正な挙動を検知・解析することでプロセス停止やファイル隔離を行う機器。

*** 対象企業に設置したUTMとEDRから検知したもの。これらとは別に、スパムメールの受信31,268件やWAF(ウェブアプリケーションファイヤウォール)による攻撃兆候(例:Webサイト偽造や悪意あるコード挿入、脆弱性のスキャン)の検知36,185件も検知している。

**** サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)の報告書について

【参考情報】

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年6月(第3号)を基に作成したものです。