サイバー攻撃の脅威とトップリスクマネジメント

藤谷 護人氏

弁護士法人エルティ総合法律事務所 所長 弁護士/公認システム監査人

　激しさを増すサイバー攻撃は、今や企業にとって、単に情報システム部門の問題ではなく、トップマネジメントにおける緊急重大な課題であると言わなければならない。

　「平成25年版情報通信白書」によると、2012年末時点で、ある著名セキュリティベンダーのデータベースに登録されている「悪意のある不正ソフトウエア等（マルウエア）」の件数は1億1000万件を超えている。しかも、毎月300万検体のペースで増加している。

　同白書は、2008年～2012年に発生した情報漏えい/侵害事例の原因として、ハッキングが平均55.6％、マルウエア感染が平均47.6％であり、「外部からの攻撃」によるものが高い割合を占めることも示している。

　特定の企業・団体に狙いを定めてシステムに侵入し情報を窃取する「標的型攻撃」は、把握されているものだけで2011年は全世界で1日当たり平均82件であったが、2012年は平均116件と、前年比4割増となった（同白書）。標的とされた企業の規模は、従業員2500人超の企業が50％、2500人以下の企業が50％である。さらに詳しく見ると、従業員250人以下の企業が全体の31％（2012年）を占めている。規模が小さい企業は、セキュリティ対策が相対的に脆弱である点を突かれている。

　標的とされた役職別の比率（2012年）は、研究開発27％、営業24％、取締役17％、共有メールボックス13％、上級管理者12％、人事4％だった。部門別の比率（2012年）は、製造業24％、金融・保険・不動産19％、サービス（非従来型）17％、政府12％、エネルギー/公益事業10％、サービス（プロフェッショナル）8％である。

　2008年～2012年の5年間に、都道府県警察から警察庁に報告のあった不正アクセス行為の認知件数は、2009年の2795件をピークに減少し、2012年は55％減の1251件にとどまった。ただし、この数値には、「連続自動入力プログラムによる不正ログイン攻撃」は含まれていない。国家公安委員会などの公表資料によると、「連続自動入力プログラムによる不正ログイン攻撃」は、2012年5月～12月だけで11万4013件も報告されている。

　不正アクセスを受けた組織の種類は、2009年には「プロバイダ」が総件数2795件中の2321件で83％を占めていたが、割合はその後激減している。2012年には総件数1251件中の22件で1.7％に過ぎない。ところが「一般企業」が標的とされた件数は、2011年には総件数889件中762件で85.7％、2012年には総件数1251件中1163件で93％を占め、その割合は激増している。

　不正アクセスの態様が、「連続自動入力プログラムによる不正ログイン攻撃」へシフトし、不正アクセスの標的がプロバイダから一般企業へシフトしたことを考え合わせると、企業を取り巻くセキュリティ環境は2012年以降、“サイバー攻撃警報”が発令された状況に突入したと言っても過言ではない。

　「連続自動入力プログラムによる不正ログイン攻撃」とは、インターネット利用者の多くが複数サイトで同一の「ID＋パスワード」を使い回している状況に目を付け、不正取得した他人のID＋パスワードのリストを悪用して、連続自動入力プログラムを用いてIDとパスワードを入力し、不正アクセスを行う攻撃方法をいう。プライベートでインターネットを利用しているビジネスパーソンが、自身の勤務先の企業サイトへのアクセスに同じIDとパスワードを使い回していることも十分考えられ、企業サイトを狙った「連続自動入力プログラムによる不正ログイン攻撃」も現実のものとなったと言える。