中小企業もサイバー攻撃の対象に？ 東京五輪の情報セキュリティー対策

国際的なイベントである五輪の開催国となった日本は、サイバー攻撃の格好のターゲットとなる。攻撃対象は大会組織委員会や五輪スポンサー企業にとどまらず、中小企業も含まれる可能性がある。

今回は情報通信総合研究所ICTリサーチ・コンサルティング部主任研究員の小川敦氏に取材。五輪期間前後に予想されるサイバー攻撃の手口や被害状況、人事・総務担当者が早急にとっておくべき対策を明らかにする。【取材：2018年10月26日】

【人事・総務担当者向け】東京五輪　急務のリスクマネジメント（特集トップ）

サイバー攻撃は「億単位」の予測　ピークは開催直前

東京五輪に関連して、どれほどの規模のサイバー攻撃が予想されるのか。

2012年のロンドン五輪では、ロンドン市内だけで2億1,000万件のサイバー攻撃があった。2014年ソチ五輪では、1日50件のペースで深刻なセキュリティーの攻撃が起きたといわれている。

また、近年の大規模なスポーツイベントとして思い出されるのが、2018年のサッカーのワールドカップ（W杯）ロシア大会。プーチン大統領は当時、「大会期間中にロシア国内で2,500万件もの攻撃を防いだ」と述べた。

小川氏はこれらの事例を受けて、「生身の人間がやることなので不確実な面もあるが、東京五輪でのサイバー攻撃は大小合わせると億単位に上る」と予想する。

サイバー攻撃は、過去のW杯の状況を見る限り、開催期間中に格段に増えるが、攻撃のピークは開催直前となる傾向がある。東京五輪に関しては、2015年11月時点ですでに組織委の公式ホームページがDoS攻撃を受けている（出典：日本経済新聞「東京五輪組織委にサイバー攻撃　HP、一時閲覧不能に」2015年11月6日）。

DoS攻撃とは、標的となるサイトやサーバーに大量のデータを送り付けて機能停止させる手法。このときはサーバーの運営会社が通信を遮断したことで情報漏えいを防いだが、似た事例がいつ起こるとも限らない。

中小企業や社員個人も攻撃対象に　全社的なリテラシー向上が必須

サイバー攻撃の標的となりえる個人、団体を予想する上で重要なのが、攻撃者側の実行目的だ。サイバー攻撃の目的は政治的動機と金銭的動機の2つに大別でき、攻撃の標的対象も2つのレイヤー（層）に分けることができる。

１層目は組織委や五輪のスポンサー企業である。日米首脳会談やW杯のような国際イベントでは、政治的主張（動機）を持った人がイベントの主催者やそれに近い団体に攻撃を仕掛け、主張を誇示する。

2層目は東京五輪の観客となる個人だ。個人に対してはフィッシング詐欺をはじめ、金銭を要求する金銭的動機による犯行が多い。

では、五輪スポンサーではない企業や、東京五輪と関連が低い地方の中小企業なら無関係かというと、そうではない。社員個人のメールに攻撃を仕掛けられる可能性もある。不用意に怪しいリンクや添付ファイルを開かないといったリテラシーを全社員に徹底的に身に付けてもらうことが必要だ。

サイバー攻撃の事例　IoTデバイスからの侵入リスクも

五輪前後のサイバー攻撃は、具体的にどのような手口が予想されるのか。

企業に対しては前述のDoS攻撃と、不正なリンクをクリックさせ情報を流出させる攻撃が多い。そのほか、最近増えているのが「クリプトジャッキング」。
悪意のある第三者が、仮想通貨のマイニング（採掘）のために他人のコンピューターのリソースを勝手に使い、仮想通貨を得る手法だ。パソコンやスマートフォンの処理速度が大幅に遅くなる被害が生じる。

また、マルウエア（悪意あるプログラム）の進化の速度は著しく、「ゼロデイ攻撃」への脆弱性も問題視されている。ゼロデイ（0日目）とは、ユーザーがセキュリティーホール（サイトの脆弱性、抜け穴）を発見し、OSやソフトウエア側がアップデートでその穴を防ぐまでに生じるタイムラグのこと。ゼロデイの間（アップデート前）にハッカーが先回りして攻撃するというものだ。

これらの攻撃はシステムをモニタリングしていれば気付きやすいが、「1人情シス（情報システム担当者）」や「1人総務」の組織体制では難しい。とりわけ、B to Cの企業は攻撃による顧客情報の流出被害に注意が必要となる。

2020年には現在よりもIoTデバイスが普及しているだろう。ネットワークカメラのようなIoTデバイスは単価が安く、パソコンやスマートフォンなどと比べてセキュリティー対策がそこまで強固ではないものも多い。AIスピーカーも同様だ。

小川氏は「これらのIoTデバイスを通じて本丸のシステムに潜入されやすいというリスクを考慮した方がいい」と警鐘を鳴らす。

社員の日々の業務に欠かせないメールについても注意が必要だ。サイバー攻撃のメール文面は、一目見ただけだと普通のメールと変わらないことも多い。

攻撃の有無を見分けるポイントは、本文に書かれた送り主の情報。例えば、送り主の会社名が記載されず、「経理部の◯◯（日本に多い名字）」とだけ書かれていると、自社の社員からのメールと勘違いし、サイバー攻撃の危険性のある添付ファイルやリンク先を開いてしまう可能性がある。

メールに部署名やよく聞く名前のみ記載されている場合は、悪意のあるメールかもしれないと疑った方がいい。

対策はサーバーの隔離、メールのフィルタリング、ファイルの暗号化

サイバー攻撃の手口は進化、多様化する一方だ。億単位の攻撃が予想される中、企業はどう対策すればいいのか。

小川氏はハード面の対応として「重要なサーバーは物理的に隔離して、他のネットワークに直接つなげないようにすること」を勧める。

また、外部との通信を制御する「ファイアウオール（安全隔壁）」、不正侵入検知システム(IDS)、不正侵入防御システム（IPS）の導入は欠かせない。パソコンやスマートフォンなどのOSやブラウザーのバージョンも最新にし、可能ならばメールやWebサイトのフィルタリングも行うと良い。

ファイルの暗号化も必須だ。仮にウイルスに感染したファイルが流出してしまっても、暗号をかけていれば中身を見られることはない。

そのほか、サイバー攻撃を受けても問題ない仮想環境を設けた上で怪しいファイルを実行する手法「サンドボックス」もある。ファイルに変わった動きがないかチェックできる。

いずれにせよ、企業は「ワンストップで食い止められる対策はない」と認識し、5重、6重の対策をとる姿勢が重要だ。

企業は、警戒すべき対象を集めてそれ以外は受け入れる「ブラックリスト型」ではなく、警戒を必要としない対象を一覧にし、その他全てを注視する「ホワイトリスト型」の対策を行うのが望ましい。

研修で社員の情報リテラシーをチェックする

企業がソフト面でとるべき対策の1つは、パスワードの使い回しを減らし、情報流出の危険性を下げること。社員がパスワードでログインする機会をできるだけ最小限にし、可能ならば光彩や指紋などの生体認証に切り替えるとよい。

最近はブラウザー側がパスワードを自動生成するサービスや、複雑なパスワードを1種類覚えておけば、各サービスのパスワードを機密性が確保された場所に保管して、必要に応じて呼び出してくれるサービスもある。

2つ目は、サイバー攻撃の予防や、ウイルス感染時の対処能力を高めるための社員向けの研修やトレーニングを実施すること。とりわけゲリラ的な訓練は効果的だ。

例えば、予告なしで全社員に怪しい添付ファイルを送り、社員のうち何割が開封してしまったのかを計測する。こうしたテストによって、社員の情報リテラシーを確認できる。

JPCERTコーディネーションセンターが行った2017年の調査によると、重要インフラを担う約3社に1社がランサムウエア（マルウエアの一種）の被害に遭ったことが判明している。

その感染経路の66％が社員のメールの添付ファイル、6％がメール内のリンクだという。このことからも、社員のセキュリティー意識を高めるトレーニングが、サイバー攻撃の予防や対処において非常に重要だと分かる。

自社に合ったKPIを立てて、経営陣にセキュリティー対策の重要性を訴える

億単位のサイバー攻撃が予想される東京五輪に向けて、企業の担当者は早めに対策を考え、情報セキュリティー対策の重要性を経営陣に訴えなければならない。

サイバー攻撃からの防御の効果は検証しづらく、経営者にとっては優先順位が上がりにくいかもしれない。

しかし、企業のレピュテーションリスク（企業の信頼や評価を悪化させる危険性）の対策は不可欠だ。社内にセキュリティー対策に精通した人材がいる企業は少ないため、外部の専門家に指示を仰ぎ、外部の研修を活用することは企業の必要経費と捉えてほしい。

経営陣にセキュリティー対策の実施を訴える際のポイントは、「自社に合ったセキュリティー対策のKPI（重要業績評価指標）を設けること」だ。

例えば、リテラシー向上のためのテストを基にKPIを考えるのはどうだろうか。全社員に怪しい添付ファイルを添付したメールを送る実験をし、現在は10人が開封している。

しかし、このトレーニングを導入することで半年後には開封者を5人に減らすことができる、というように目標数値を明示するのだ。このように対策の効果が可視化できるだけで、経営陣を説得しやすくなるだろう。

今後はAIやRPAの普及に伴い、これらを活用したサイバー攻撃の増加が予想される。AIやRPAは業務効率を向上させる半面、マルウェアの進化にも寄与してしまう。

RPAがサイバー攻撃に使われると、ハッカーが直接手を下さずとも自動的に攻撃を開始するようになる。こうした新たなサイバー攻撃にも警戒すべきだろう。

セキュリティー対策は東京五輪のためだけにとどまらない。「早い段階から未来への投資としてセキュリティー対策を導入し、アップデートさせてほしい」（小川氏）

小川敦

1981年、横浜市出身。NTTドコモにて10数年勤務し、モバイル分野の新規事業の企画・開発に携わる。2017年より現職。ブロックチェーン（分散型台帳）技術、次世代通信規格「5G」技術とビジネスに関する調査を行っている。世界のスポーツイベントや首脳会談へのサイバー攻撃に関する知見も持つ。

企業情報

株式会社情報通信総合研究所
所在地：東京都中央区日本橋人形町2-14-10 アーバンネット日本橋ビル
設立：1985年
事業内容：国内外の情報通信に関する調査研究、地域情報化計画の立案、策定、コンサルティングなど
社員数：65人（うち研究員54人）※取材時点