サイバー攻撃、高度化・巧妙化する手口と企業が直面する課題

尾崎氏によると、攻撃者は特定の企業を狙い撃ちにしているわけではないという。AIなども活用しながら、インターネット上に存在する脆弱（ぜいじゃく）なシステムを広範囲に探し、侵入可能な企業を探しているのだ。

富士フイルムビジネスイノベーションが提供する中小企業向けセキュリティサービス「beat」では、1年間で3億件規模の不正アクセス、6億通規模の迷惑メールを検知しているという。

尾崎氏は「現在のサイバー犯罪組織は高度な分業体制を構築している」と指摘する。企業への侵入経路や脆弱性情報を収集・販売するブローカー、攻撃ツールを開発する開発者、それらを売買する仲介組織、実際に攻撃を実行する部隊。さらに、攻撃が成功した後には身代金交渉を担当する者や、仮想通貨のマネーロンダリングを担う組織まで存在するという。

「われわれが相手にしているのは1人2人のハッカーではなく、業界そのもの。企業が単独で対抗することは難しい」（尾崎氏）

増加する取引先経由での攻撃

近年、特に問題となっているのが、サプライチェーンを経由した侵害だ。

攻撃者は、防御が手薄な取引先や関連会社に侵入し、その企業を踏み台にして本丸となる標的へ到達しようとする。例えば、取引先の企業のメールアカウントを乗っ取り、実在する担当者になりすまして不正ファイルを送信する。受信側は普段からやり取りのある担当者からのメールだと警戒せずにファイルを開いてしまう。

その結果、被害は取引先や顧客にも広がり、企業間の信頼関係そのものが損なわれるリスクが生じる。

ランサムウェア攻撃も変化している。

かつてはシステムを暗号化し「業務を再開したければ身代金を払え」と要求するケースが中心だった。しかし現在は、同時に顧客情報や機密データを盗み取り「公開されたくなければ支払え」と脅迫する手法が一般化しているという。事業停止と情報漏えいのダブルパンチによって、被害はより深刻になっている。