警察庁 長官官房審議官(サイバー警察局担当) 阿部 文彦 氏 基調講演より
サイバー犯罪の深刻化と警察の体制強化
近年、サイバー犯罪は年々深刻化し、検挙件数も右肩上がりで増加しています。特に、国内で観測される脆弱性探索の約99%は海外からのアクセスであり、国境を越えた脅威への対応が急務です。このため、警察庁は2022年4月に「サイバー警察局」を発足させ、体制強化を進めています。
金融を狙う攻撃の多様化
- インターネットバンキング不正送金は2023年から急増。被害者の多くは個人で、盗まれたID・パスワードが暗号資産交換業者に送金されるケースが半数近くに上ります。
- ボイスフィッシング被害も増加。銀行員を装った電話で法人口座の認証情報をだまし取られ、令和6年には約80社・28億円以上の被害が発生しました。発覚しづらく、企業にとって大きな脅威となっています。
- クレジットカード不正利用も右肩上がり。海外製のフィッシングツールを使った国際的な犯行が確認されています。
ランサムウェアとサプライチェーンリスク
ランサムウェア被害も右肩上がりで、暗号化による業務停止だけでなく「暴露」による二重脅迫も増えています。
- 規模別:大企業27%、中小企業63%、団体9%
- 業種別:製造業65件、卸小売業43件、サービス業33件、建設業20件
さらに、委託先を狙ったサードパーティ経由の攻撃も深刻化しています。被害復旧には1,000万~5,000万円の費用がかかるケースが多く、半数が1,000万円以上という調査結果も示されました。
被害事例から得られる教訓
- 大阪急性期・総合医療センターでは、給食委託事業者のVPN機器の脆弱性を悪用したサプライチェーン攻撃により被害が発生しました。侵入経路は業務サーバーを経て院内へ拡大し、最終的に約1,300台に及ぶ端末にランサムウェアが感染
- 自社だけでなく委託先・取引先も含めたセキュリティ管理を契約や監査で担保する必要があります。
警察が推奨する基本的対策
- サイバー攻撃を想定した 業務継続計画(BCP)の策定
- オフラインを含む複数バックアップの確保
- 侵入経路特定のための ログ取得・保存
- 訓練(復元・広報・連絡手順の確認) の実施
- 警察や関係機関との 平時からの関係構築
まとめ
今回の基調講演で改めて浮き彫りになったのは、中小企業や委託先でも多くの被害が発生しているという事実です。
「当たり前のことを、当たり前にやる」――これは言うほど簡単ではありません。
だからこそ、JAPHICマークをはじめとする第三者認証といった「枠組み」のあるマネジメントシステムを活用し、教育・規程・運用を仕組み化して「足元の体制」を強化することは効果的です。
サイバー攻撃は待ってはくれません。
自社を守り、取引先や顧客を守るために、まずは体制づくりの一歩を踏み出すことが、最大の予防策になるのではないでしょうか。まずはお気軽にお問い合わせください。