「3日でパッチ」ではもう手遅れ 常態化する“48時間以内”の攻撃:世界中で相次ぐサイバー攻撃の今
サイバー攻撃にまつわる話題には事欠かない。企業を狙うサイバー攻撃被害が相次いでいる。復旧に平均68日かかる深刻な被害も報告される中、重要なのは「予防」と「初動対応」だ。
企業へのサイバー攻撃はとどまることがない。2025年7月5日(現地時間、以下同じ)、ITディストリビューターのIngram Microがランサムウェア(身代金要求型マルウェア)攻撃を受けたと発表した。この影響により、Webサイトを含む同社のシステムに障害が発生したもようだ。その後の7月9日、同社は全ての国と地域で業務を再開したと発表した。
続く7月10日、Marks and Spencer Group傘下のスーパーマーケットMarks and Spencer(M&S)、消費者協同組合のCo-operative Group(Co-op)、百貨店を展開するHarrodsといった複数の小売業者に2025年4月より一連のサイバー攻撃を仕掛けた疑いで、ロンドン、スタッフォードシャー、ウェストミットランズにおいて17〜20歳の男女4人を逮捕したと英国の国家犯罪対策庁(National Crime Agency:NCA)が発表した。
被害であれ逮捕であれ、このようなサイバー攻撃が話題になる度に思い出すべき“重要な教訓”がある。
脆弱性公表から48時間以内に攻撃 「パッチが間に合わない」
セキュリティベンダーSonicWallでEMEA(欧州、中東、アフリカ)地域のエグゼクティブバイスプレジデントを務めるスペンサー・スターキー氏は、重大かつ破壊的なサイバー攻撃が急増していると語る。「SonicWallの調査レポートによると、2024年に企業が業務を停止させるレベルの重大な攻撃にさらされた日数の平均は68日だった。企業が直面する攻撃の数が増えていることは明白だ」
「現在、脆弱(ぜいじゃく)性の情報公開から48時間以内に悪用を試みる傾向が観察されている。攻撃の速度が早過ぎて、大部分の組織にとってパッチ(修正プログラム)の適用が間に合わない。復旧期間が長期化する傾向もあり、企業のセキュリティ体制との間のギャップが拡大している印象だ」。スターキー氏はそう語る。
攻撃を受けてからどうするか
スターキー氏は、こうした点を踏まえ、依然として企業はセキュリティ対策を最重要事項とすべきだと警告する。「予防がまずは重要だ。多層防御の実装は、もはや基本と言える。それに加え、攻撃が発生した場合にどう行動するか、明確なガイドラインを全ての企業が策定しておく必要がある。それに沿って、従業員の演習を定期的に実施する」と同氏は語る。
さらに同氏は、ベンダーと顧客企業との協力の大切さを強調する。「攻撃に対し、関係者全員の役割と責任を明確に定義しておくべきだ。鍵となるのが、ベンダーと顧客企業、そして従業員から消費者に至るまでの円滑なコミュニケーションだ。企業は影響を受ける可能性のある全ての人々に対して、インシデントの解決とシステムの復旧のためにあらゆる措置を講じていることを公表し、不安を和らげる必要がある。一方通行の情報公開ではなく、情報が双方向に伝わるよう常に努めなければならない」(スターキー氏)
報告できる雰囲気作りが重要
インシデントが起きた際の社内体制にも課題がある。バックアップツールベンダーCohesityの調査によると、従業員の大半が、攻撃を受けたことが判明しても上司に報告しないという憂慮すべき事態が明らかになった。79%が「自分の責任にされたくないから」「騒ぎを起こしたくないから」という理由で上司に知らせないと回答したのだ。
「攻撃を受けた疑いがあるにもかかわらず報告しないというのは、最悪のケースだ。深刻なビジネス上の損害につながりかねない」と、CohesityのEMEA地域セールス部門のバイスプレジデントを務めるオリビエ・サボルナン氏は語る。
セキュリティやバックアップ、リカバリーを提供するベンダーは、ツールを販売するだけでは不十分だ。顧客企業と協力して、従業員と上司との関係性の改善に取り組むことが求められる。
「どんなに小さな問題に思えても、従業員が躊躇(ちゅうちょ)なく、安心して報告できる職場の雰囲気作りが重要だ。異変に気付けるように、攻撃に対して正しい行動を取れるように、適切な訓練を施す必要がある」(サボルナン氏)
翻訳・編集協力:雨輝ITラボ(リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.