名古屋市の損害保険・生命保険代理店なら保険ポイント「お知らせ・コラム」ページ

tel:052-684-7638受付時間:平日9:00~17:00052-684-7638
お問い合わせ
MENU CLOSE

お知らせ・コラム

2025.12.29

コラム(業務遂行のリスク)

サイバ-リスクへの備え~最近の事例から学ぶ~

サイバ-リスクへの備え~最近の事例から学ぶ~

2025年9月下旬に発生した「アサヒグル-プホールディングス」へのサイバ-攻撃や10月に発生した「アスクル」へのサイバ-攻撃などの各報道を受け、サイバ-リスクの脅威についてあらためて考えるきっかけとなったという経営者・事業者の皆さまも多いのではないでしょうか。今回は2つの企業が受けた「ランサムウェア攻撃」を中心とした情報を改めて提供させていただきます。

【目次】

1.ランサムウェア攻撃とは

2.サイバ-攻撃の事例に学ぶ

3.今回のまとめ

 

1.ランサムウェア攻撃とは

「ランサムウェア」とは、「身代金」を意味する「ランサム(Ransom)」と「ソフトウェア(Software)」とを組み合わせたマルウェア(不正プログラム)です。

このマルウェアに感染すると、パソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復元(復号化)する対価を攻撃者から要求されます。近年はデータの暗号化による恐喝に加え、窃取したデータを公開しないための対価も要求するなど、「二重恐喝」も増えています。さらに、データを暗号化せず窃取のみを行い対価を要求する「ノーウェアランサム」という手口による被害も確認されています。情報処理推進機構(IPA)で「情報セキュリティ10大脅威」として10年連続で選出されており、昨年の被害報告件数は過去最多となっています。また、昨年は大企業の被害件数が減少した一方、中小企業の被害件数は前年比で37%増加しています。ランサムウェアをサービスとして提供するビジネスモデル(RaaS)によってサイバー攻撃の分業化が進み、攻撃実行にかかる工数やコストが抑えられることで、サイバー対策が不足しがちな中小企業に大規模な攻撃を仕掛けることが可能となっていることからも、サイバ-リスク対策は中小企業の喫緊の課題だと言えるのではないでしょうか。

※AIG損保「サイバ-セキュリティコンテンツ2024年10月号・2025年10月号」より

2.サイバ-攻撃への事例に学ぶ

「アサヒグル-プホールディングス」で発生したランサムウェアによるサイバ-攻撃では、国内グループ各社の受注・出荷業務やコールセンター業務が一時停止し、顧客や取引先に大きな影響が出ています。また、「アスクル」ではランサムウェアによるサイバ-攻撃を受け、受注・出荷業務の全面停止という深刻な事態となりました。

このような組織間の業務上のつながりを悪用して次なる攻撃の踏み台とする「サプライチェーン攻撃」は年々増加しています。「サプライチェーン攻撃」は、関連企業や業務委託先など(サプライチェーン)の中から比較的セキュリティが弱い中小企業へ攻撃をしかけて侵入し、その後、ネットワーク接続や普段からのやり取りを悪用してターゲット企業・組織のシステムへ侵入します。取引先を通じてネットワークに侵入されるため、侵入されたことに気づきにくいという特徴があります。「ランサムウェア」による身代金要求があったとしても「身代金の支払いには応じてはいけない」といわれていますが、なぜ応じてはいけないのでしょうか。身代金を支払わないことによって、業務が復旧できないリスクや顧客のデータが公開されるなど様々なリスクが生じる可能性はありますが、支払った身代金は犯罪者の活動資金となり、その資金から高度な攻撃方法が開発され、再びランサムウェア攻撃のターゲットになってしまう可能性があります。また、身代金を支払ったとしても、暗号化が解かれてデータが公開されないという保証もありません。そして、2023年10月に開催された国際会議においても、日本を含む世界50カ国・地域がサイバー攻撃に対して身代金を支払わないことに合意し、民間企業にも身代金を支払わないよう要請していることからも「身代金の支払いには応じない」ことが重要です。

※AIG損保「サイバ-セキュリティコンテンツ2025年10月号」より

3.今回のまとめ

ランサムウェア感染が疑われる場合は感染したパソコン等はLANケーブルを抜き、Wi-Fi(無線LAN)をオフにするなど、感染したパソコンをネットワークから完全に切り離し、最寄りの警察署・都道府県警察本部「サイバー犯罪相談窓口」に相談・通報すると、情報の分析や対策に必要な情報の提供・助言を受けることができますが、社内外への影響や被害範囲を把握して報告するためには正確な調査が必要となります。サイバー攻撃を受けた際に攻撃を受けたパソコンやサーバなどに残る電子的記録を保全・復元・解析することで原因や情報漏洩の影響範囲を調査することなどを「デジタル・フォレンジック」いいますが、デジタルフォレンジックを行える専門会社は数も少なく、一見さんだとお断りされるケースもあるようです。調査が遅れることで信用の失墜が深刻なダメージとなることもありますが、その費用は高額でPC1台100~200万円、サーバ1台300万円~400万円が相場と言われており、この数年で相場は上昇しています。とはいえ、信頼を失墜させないためにもデジタル・フォレンジックの専門機関による原因調査を避けることはできません。フォレンジック調査機関との関係構築や費用の資金調達には保険を活用することも有効です。サイバ-攻撃を受けた時に委託業者ではなく、24時間365日その場で対応できる体制を社内で整備している保険会社もございます。サイバ-リスク対策は業種や事業規模を問わず対策が必要なリスクです。セキュリティ管理体制について診断し、報告書にまとめてくれるサービスを無料で提供している保険会社もございます。気になる方はお近くの保険代理店までお気軽にご相談ください。

 

株式会社保険ポイントは、損害保険および生命保険を取り扱う保険代理店です。

TEL>052-684-7638

メール>info@hokenpoint.co.jp

 

保険加入に関するご相談はお気軽にお問い合わせください。

 

PREV 記事一覧 NEXT