オリンピックイヤーが明けて間もなく、三菱電機やNECという日本を代表する防衛関連企業4社への大規模なサイバー攻撃が明るみに出た。

 三菱電機では、最大約8千人分の個人情報に加え、自衛隊装備品の試作に関する入札情報が流出した可能性がある。NECは、情報流出はなかったとしているが、不正アクセスの対象となった約2万7千件のファイルには、自衛隊装備品関連情報が含まれていた。

 今回のサイバー攻撃には、中国のハッカー集団の関与が取り沙汰される。ハッカー集団は中国政府や人民解放軍と深い関係にあるとされ、日本の防衛機密が狙われたとの見方が強い。それが事実なら、安全保障上のゆゆしき事態だ。

 攻撃手法には共通点がある。最初から本社が狙われたのではなく、三菱電機は中国の子会社のサーバー、NECは北陸地方の子会社の端末が攻撃され、感染したコンピューターウイルスが社内で広がったとみられる。

 サイバー攻撃対策の人員や予算が手薄とみて、攻撃者が取引先や子会社を侵入の足がかりにするケースは増えている。

 攻撃発覚後、関係閣僚は相次いで、企業側の公表の遅れを批判した。

 三菱電機は昨年6月、ウイルス対策ソフトが不審な動作を検知し、7月に不正アクセスと断定したが、公表までに半年。NECも2018年7月に不正アクセスを確認し、関係先には個別に状況説明したが、公表は今年1月となったからだ。

 特に河野太郎防衛相は、公表済みの三菱電機とNEC以外にも防衛関連企業2社が不正アクセスを受けたことを記者会見であえて明かし、企業に公表を強く促す異例の対応に踏み切った。

 近年、サイバー攻撃はますます巧妙化し、企業が攻撃を受けたこと自体に気づかないことも多いという。最も効果的な対策は、攻撃被害についての情報共有だ。

 攻撃者は特定の1社を狙うより、業界全体をターゲットにする方が効率的と考える。同業他社に対する攻撃の手口が分かれば「もしかしたら自社も…」と調査し、大事に至る前に不正アクセスを把握、対応できる可能性が出てくる。

 ただ、攻撃を受けた企業側は、責任を追及されるのではないか、企業の信用を失うのではないかと公表に消極的になる。せめて情報共有だけでもといっても、外部に漏れたらと懸念は残る。

 以前から業界ごとに情報共有の仕組みはあるが、内閣サイバーセキュリティセンター(NISC)は枠を超えた連携を図るため「サイバーセキュリティ協議会」を昨年、設立した。法律も改正され、守秘義務違反に罰則が設けられた。常に指摘される省庁や業界の縦割り構造を克服してほしいと期待している。

 いよいよ東京五輪・パラリンピックの開催が迫ってきた。4年に1回の世界的スポーツイベントはサイバー攻撃の格好のターゲットになる。

 チケット販売や電源管理のシステムをハッキングする大会運営の妨害、偽のチケット販売サイトによる詐欺やクレジットカード情報の入手…心配は尽きない。

 いまやサイバー攻撃は「ひとごと」ではない。しかし、必要以上に恐れることはない。身近な「自分事」としてとらえ、関心を持ち続けることが大切だ。(共同通信・下山純)

このエントリーをはてなブックマークに追加