富士通へのハッカー、五輪・原発検索か　本当の狙いは …

省庁や政府関連組織の情報につながる富士通の情報共有ツールに侵入したハッカーが、東京五輪や原発に関する情報を検索した履歴があることが分かった。　複数の政府関係者が朝日新聞の取材に認めた。　富士通が開発を受注したシステムの情報を足がかりに、ハッカーが政府や重要インフラのネットワークに侵入する狙いがあった可能性がある。

侵入を受けた情報共有ツール「ProjectWEB （プロジェクトウェブ）」の不正アクセス被害は今年 5 月に発覚。　7 万 6 千人分のメールアドレスが流出したという国土交通省のほか、外務省や内閣サイバーセキュリティセンター (NISC) など計 7 つの省庁・外部組織が、富士通に提供した情報の流出を公表。　さらに、朝日新聞の取材で東京五輪・パラリンピックの大会組織委員会や政府のカジノ管理委員会、日本年金機構の被害も新たに判明した。

ほかに、「調査中」、「答えられない」とした省庁なども複数あった。　関係者によればそれらの組織はいずれも、政府が進める情報管理システムを一元化する仕組み（政府共通プラットフォーム）を利用しており、この開発資料なども流出したことがわかった。　この仕組みに関する機器の納入やネットワーク管理などを富士通が担っていたという。　富士通の発表などによれば、同社が受注した情報管理システムの機器類に関する情報や打ち合わせのメモ、事務手続きに関する資料などが流出したが、省庁内部の機密情報はなかったとしている。

攻撃手法にちらつく「中国ハッカー集団」の影

ただ、流出した情報を通じてシステム内部の「手の内」が握られる可能性があり、内閣官房の関係者は「省庁システムへの侵入につながる情報が含まれていた恐れがある。　ハッカーの狙いは富士通ではなく、政府へのスパイ工作だろう。　今後も長期間監視を続けることが必要だ。」とみる。

複数の政府関係者によれば、侵入者が「オリンピック」、「原発」といったキーワードで情報を検索した履歴もあったという。　手口などから、侵入者は中国政府が支援すると指摘されるハッカー集団とみられ、政府の機密情報を探るとともに、重要インフラのシステムへ侵入を企てた疑いもある。　別の関係者は「五輪に関するシステムへのサイバー攻撃は今のところ確認されていない。」と話す。　富士通は官公庁や重要インフラ専門の事業部を持ち、基幹システムの構築やネットワーク管理などを受注する。　取材に対し「具体的な質問内容についての回答は差し控える。　お客様への対応に全力で取り組んでいる。」としている。 (編集委員・須藤龍也、吉沢英将、asahi = 8-30-21)

【解説】 本当の狙いは「富士通」ではない

富士通は日本を代表する総合 IT 企業だ。　公共・民間問わず、ほぼすべての大手組織が同社の情報システムや製品を使っている。　今回、不正アクセスの被害に遭った「ProjectWEB （プロジェクトウェブ）」は、顧客との交渉記録や互いに共有したい資料を保存するための社内ツールとして 1998 年から使われ、定評がある。　ハッカーはそこに目をつけたと言えそうだ。　他の組織に侵入する「とば口」として、情報システムの開発資料などを盗み取った可能性が考えられる。　本当の狙いは「富士通」ではなく、被害を受けた組織だととらえ、今後も警戒する必要がある。

不正アクセスの時期や原因がいまだに特定されていないのは、高度な技術力を持ったハッカーが長期にわたって侵入していた可能性を示唆している。　攻撃手法からは、昨年 1 月に発覚した三菱電機へサイバー攻撃を仕掛けたとされる中国系ハッカー集団との関連もうかがえる。　この集団は、機器やシステムに潜む未知の欠陥（脆弱性）を探し出し、組織への侵入を図ることで知られる。　今のサイバー攻撃は、一組織だけで防ぐことは不可能に近い。　富士通だけに対策を押し付けるのではなく、国を挙げて取り組むべきだ。　だが実際は、情報共有の枠組みがあっても満足に活用されていないのが実情でもある。

◇

〈プロジェクトウェブへの不正アクセス問題〉　プロジェクトウェブは、富士通が取引先の省庁や外部組織との間で情報を共有するための社内ツール。　富士通は今月、129 の取引先に関する情報の一部が不正に閲覧されるなどの被害があったと公表。　「何らかの脆弱性（欠陥）を突かれた」との見方を示した。

◇　◇　◇

富士通ツール、未知の欠陥狙われたか　省庁情報流出問題

富士通が提供する情報共有ツール「ProjectWEB （プロジェクトウェブ）」が不正アクセスを受け、取引先の省庁や政府機関の情報が流出した問題で、富士通は 11 日、朝日新聞の取材に対し、原因について初めて明らかにした。　ツールに未知の欠陥（脆弱性）が存在し、悪用された可能性があるという。

プロジェクトウェブは、同社がシステム開発を受託した官公庁や企業とのやりとりに使う社内ツール。 今年 5 月、63 人分の個人情報が記されていた外務省の資料への不正アクセスが発覚したことをきっかけに、内閣サイバーセキュリティセンター (NISC) や国土交通省、総務省など、このツールに情報が保存されていた組織の被害が次々と明らかになった。　富士通の調査は現在も続いており、被害の規模はさらに広がる可能性がある。

同社の説明によると、不正アクセスの際にはツールの正規利用者の ID とパスワードが使われ、正常な手続きを経てログインしていた。　何者かが正規の利用者になりすました手口だったことが判明したという。　この利用者の ID とパスワードはあらかじめ盗み取られたと考えられるため、富士通は利用者のパソコンがウイルスに感染して乗っ取られるなど、様々な原因を調査した。 その結果、ツール本体に潜んでいた未知の脆弱性を悪用したサイバー攻撃の可能性が高いことが分かったという。　被害を受けた省庁の担当者によれば、盗まれた ID やパスワードはツールの管理者権限を持ったアカウントだったと、富士通から報告があったという。

富士通役員「創業以来の危機」　検証委設置へ

また同社は 11 日午後 4 時にプレスリリースを公表し、129 の取引先の情報が不正に閲覧されたり、ダウンロードされたりと被害が判明したことを明らかにした。　この中には取引先で稼働しているシステムに関する情報や打ち合わせのメモ、作業の進捗状況、社内事務手続きなどのやりとりに加え、担当者の氏名やメールアドレスといった個人情報も含まれていたという。

富士通は今回の一連の問題を受け、外部の有識者による検証委員会を立ち上げたことも明らかにした。　広報 IR 室によると、同社が検証委員会を設置するのは初めてといい、顧客への対応も含め再発防止について話し合うという。　役員の一人は「弊社事業の根幹を支えるツールが侵害され、取引先の情報が流出するという創業以来の危機に直面している。　全社一丸となって問題解決に取り組むため、透明性を持って臨む決意だ。」と話す。 (編集委員・須藤龍也、asahi = 8-11-21)

◇　◇　◇

元留学生が警視庁に語った、「面識のない女」からの指示

宇宙航空研究開発機構 (JAXA) など国内の約 200 組織がサイバー攻撃を受けた事件で、攻撃に使われたサーバーを偽名で契約したとして警視庁公安部が事情を聴いた中国籍の元留学生が、中国軍関係者から日本製セキュリティーソフトの購入などを指示されていたことがわかった。　公安部は、新たな攻撃につなげる目的で軍に近いハッカー集団が入手しようとした疑いがあるとみている。　一連のサイバー攻撃は、JAXA や三菱電機、岐阜県、慶応大などが標的となった。　組織内のパソコンを遠隔操作できる資産管理ソフトの欠陥を突かれ、外部から送り込まれたウイルスに感染するなどの被害が相次いだ。

公安部は、攻撃に使われたサーバーをうその会員情報で契約したとして、30 代の中国共産党員の男を私電磁的記録不正作出・同供用の疑いで 4 月に書類送検した。　捜査関係者によると、元留学生の存在は、攻撃に使われた別のサーバーの偽名契約をめぐる捜査で浮上した。　公安部が元留学生に事情を聴いたところ、2016 年に中国在住の女からサーバー契約に関する指示を受けたと説明。　日本製セキュリティーソフトを購入するよう指示を受けて、実際に購入を試みていたことも明かしたという。

関係者によると、元留学生は 16 年秋、架空の企業を名乗ってセキュリティーソフトの開発会社側にメールで問い合わせた。　だが企業名などに不審な点があり、法人登記も存在しなかったため、会社側は取引を断ったという。　このソフトは官公庁にも導入されている、数少ない日本製のセキュリティーソフトの一つ。　捜査関係者の一人は「組織に侵入した後、ソフトの監視をかいくぐる手法を探そうとしたのでは」とみる。　政府の調達記録から、どの省庁がこのソフトを使っているのか知ることもできるといい、「公開情報に目をつけた可能性がある」と推察する。

ソフト開発会社は朝日新聞の取材に「個別案件には答えられない。　一般論として、安全保障の脅威につながるような取引に応じることがないよう、普段から様々なチェックを行っている。」としている。　元留学生に購入を指示した女が観光目的で来日した際に公安部が事情を聴いたところ、元留学生とは共通の知人を介して知り合い、中国の SNS アプリを通じて指示を出していたことを認めた。　女に関する情報を調べるなかで、夫が中国軍の所属であることがわかったという。

捜査関係者は元留学生と女はもともと面識がなかったとみる。　元留学生は公安部の調べに対し、女から「国家に貢献するように」などと言われ、指示に従ったと説明。　度重なる要求に「これ以上は無理だ」と拒絶したこともあったと話したという。　元留学生は中国共産党員ではなく、軍とも無関係だったといい、公安部は、捜査の手が中枢に及ばないよう末端の「手足」として使われた可能性が高いとみる。　すでに帰国しており、これまでに立件はされていない。

元留学生はこのほかに、女から日本メーカー製の USB メモリーの購入を指示され、中国・青島に送ったとも供述。　公安部も元留学生が大手通販サイトなどで購入した複数の USB メモリーが青島に送られたことを確認したという。　青島には中国軍のサイバー戦を担う拠点があるが、元留学生が送った USB メモリーと一連の攻撃を関連づける証拠は見つかっていないという。

複数のセキュリティー企業の調査では、一連の攻撃は中国軍との関連が指摘されるハッカー集団「Tick （ティック）」の関与が疑われる特徴があった。　公安部は、ハッカー側が新たな攻撃の糸口を探すため、入手した USB メモリーやソフトを解析する狙いがあったとみている。 (鶴信吾、編集委員・須藤龍也、asahi = 6-5-21)

◇　◇　◇

JAXA 攻撃「背景に中国軍」　警察庁長官が初めて言及

宇宙航空研究開発機構 (JAXA) へのサイバー攻撃に関与したとして警視庁が中国籍の男を書類送検した事件について、警察庁の松本光弘長官は 22 日の定例記者会見で、攻撃に中国人民解放軍の部隊が関与した可能性が高いとした上で、「攻撃の背景組織の特定に至ったのは非常に意義深いと考える」と述べた。　日本に対するサイバー攻撃について、中国が国家レベルでかかわった疑いが強いとする見解を日本の捜査当局が示したのは、今回が初めてとみられる。

警視庁などによると、男は 2016 - 17 年に 5 回にわたり、名前などを偽って日本企業とレンタルサーバーの使用契約を結んだ私電磁的記録不正作出・同供用の疑いがある。　男は中国共産党員で、国営の情報通信企業でシステムエンジニアをしていたという。　松本長官は会見で、男や関係者の供述など多くの証拠から、国内約 200 の企業などへの一連のサイバー攻撃が「Tick （ティック）」と呼ばれる集団によって実行されたと指摘。　背景にある組織として、青島市を拠点とする軍の戦略支援部隊「61419 部隊」が関与した可能性が高い、と説明した。

松本長官は、サイバー攻撃への対応は国の安全保障上も重要な課題と指摘。　官民の情報共有や、政府内や外国の治安機関との連携を図り、被害防止や攻撃の実態解明、取り締まりを進める考えを示した。 (編集委員・吉田伸八、asahi = 4-22-21)

◇　◇　◇

内閣府にサイバー攻撃　サーバーに「ゼロデイ」の痕跡

内閣府は 22 日、内閣府や内閣官房の職員らが外部とファイルの送受信をする際に使うファイル共有サーバーに不正アクセスがあったと発表した。　不正アクセスを受けたファイルには 231 人分の個人情報が含まれており、これらが流出した可能性があるという。　朝日新聞の取材に応じた複数の関係者によると、不正アクセスは遅くとも昨年 3 月には起きていたことが確認された。　内閣府が不正アクセスを検知するまでの間、外部に向けてサーバーから大量のデータが送信されていた痕跡が見つかった。　データのサイズは一度の送信で数ギガバイトに及んだといい、流出の規模はさらに増える恐れがある。

内閣府によれば、このサーバーは、情報通信機器大手のソリトンシステムズ（東京）が開発した「FileZen （ファイルゼン）」という機器。　職員は、内部文書などのファイルを外部の第三者とやりとりする際、このサーバーに一時的に保存し、相手はサーバーにアクセスしてファイルをダウンロードする。　メールの宛先ミスや、USB メモリーの紛失による情報流出を防ぐために使われている。　発表によると、不正アクセスは今年 1 月中旬に発覚した。サーバーの利用を止めて調査をしたところ、開発元も把握していない未知の脆弱性（欠陥）を突いた「ゼロデイ」と呼ばれるサイバー攻撃の痕跡が見つかった。　これにより、何者かがサーバーに侵入し、保存されていたファイルを操作できる状態になっていたという。

不正アクセスを受けた複数のファイルを調査したところ、ファイルは圧縮され、外部からアクセスできる場所にコピーされていた。　これらのファイルからは、個人名や所属、連絡先などを含む計 231 人分の個人情報が見つかった。　連絡が取れた 212 人に対し、経緯を説明しておわびしたという。　複数の関係者によれば、不正アクセスはこのほかにもあった。　サーバーを利用する際に登録する必要があるアカウントの ID とパスワードを盗み取る不正プログラムも見つかった。　職員のアカウント情報が流出した可能性もあるという。

内閣府は、経済財政や地方創生、科学技術や男女共同参画など幅広い政策を担う。　このサーバーは、内閣府のほかに内閣官房、復興庁、個人情報保護委員会の職員らが使っている。　内閣府は取材に対し「内閣府内のネットワークへの被害は認められていない。　外部からのサイバー攻撃の監視機能を強化した。」と説明、26 日からサーバーの使用を再開するとしている。　ファイルゼンは、ソリトンシステムズによれば国内を中心に約 1,100 台が稼働しており、6 割近くは国の省庁や地方自治体といった公共機関で使われている。　昨年 12 月から今年 3 月にかけて、サーバーへの不正アクセスにつながる欠陥が複数見つかったとして、修正プログラムの適用を呼びかけていた。 (編集委員・須藤龍也、吉沢英将、asahi = 4-22-21)

◇　◇　◇

国慶節に止まった攻撃の謎　日本狙った中国ハッカー集団

宇宙航空研究開発機構 (JAXA) などへサイバー攻撃に関与したとして、警視庁が 20 日、30　代の中国籍の男を書類送検した。　一連の攻撃は 2016　年、国内の防衛や航空関連に携わる約 200 の研究機関や企業に及んだとされる。　これらサイバー攻撃を仕掛けたのは、中国人民解放軍の影響下にあるとされるハッカー集団「Tick （ティック）」だと警視庁ではみている。　このティックこそが、日本の防衛や重要インフラを担う企業や官公庁を長年ターゲットにしてきたハッカー集団だ。　20 年 1 月に発覚した三菱電機へのサイバー攻撃でも、5 年近くにわたり同社を断続的に攻撃してきた実態が、内部資料からも明らかになっている。

その攻撃手法は年々巧妙さを増し、日本を狙うことに特化した手口なども見られるようになった。　その実態はどのようなものなのか。　5 年前、あるリポートに注目が集まった。　大手セキュリティー企業ラック（東京）が 16 年 8 月に公表した「日本の重要インフラ事業者を狙った攻撃者」がそれだ。　ティックについて詳述したリポートは、今回、警視庁が書類送検した事件の時期と調査内容が重なる。　リポートによれば、13 年 3 月以降、ティックが多用するウイルス「Daserf （ダサーフ）」の感染被害の相談が多数寄せられたという。　それらを分析すると、航空・鉄道、情報通信など、国が重要インフラと定める企業や行政機関が 6 割を占め、残りもインフラ関連の機器メーカーなどだった。

ウイルスは組織内に感染すると、数カ月から約 2 年半、動き続けていたこともあった。　長きにわたって組織に侵入し、外部に大量のデータを送った痕跡も見つかった。　組織の機密情報を盗み取る「サイバースパイ」というのが、ティックの正体だと結論づける。　リポートは、ティックが中国系のハッカー集団だと考えられる「攻撃者像」についても触れている。

一つは、ティックが組織に感染させたウイルスに対し、指令を発するサーバー内から、中国語版ウィンドウズに添付されていたアプリが見つかったこと。　さらにウイルスの一部が、中国のサイトで公開されているツールを利用して作られたことも判明したという。　もう一つは、ウイルスがハッカーの指令を受けたり、データを送ったりした通信の時期や時間帯を調べると、中国の一般的な労働者の勤務時間とほぼ一致する傾向が見られたという点だ。　さらに中国の大型連休にあたる「国慶節（毎年 10 月 1 日から 1 週間）」の期間、通信がほぼ途絶えていたこともわかった。　これらのことから、リポートは「中国の文化・慣習の下で生活していると思われる攻撃者」が「中国の生活時間帯に従っているとの推測が成り立つ」と指摘する。

ラックがリポートを公表した 16 年はさらに、ティックが日本に特化した攻撃を仕掛けている実態が浮き彫りになった年でもある。　企業や組織のパソコンを一元管理し、従業員の利用状況の把握やソフトの一括インストールなどを行うことができる資産管理ソフトトップシェアの「SKYSEA （スカイシー）」で、ソフトの深刻な脆弱性を突いた攻撃が発覚。　パソコンにインストールされたスカイシーが、外部からウイルスを送り込まれるサイバー攻撃被害にも見舞われた。　このウイルスもダサーフの亜種だった。

スカイシーは本来、組織内の閉じられたネットワーク内のパソコンを管理する前提で設計されている。 だがハッカーは、パソコンが営業活動などで持ち出され、外部のネットに接続される時があることに着目したとみられる行動に出た。　ハッカーはスカイシーに指令を出すことができる偽のサーバーをつくり、日本国内のインターネットにスカイシーへの接続を呼びかける通信を片っ端から発信した。　この時、スカイシーのインストールされたパソコンが外出先などでたまたまネットにつながっていて指令に応答してしまうと、ウイルスが送り込まれた。　こうした事実は複数のセキュリティー会社の調査で判明した。

ハッカーの偽サーバーは日本国内のレンタルサーバーを偽名で契約していたことが、のちの捜査関係者への取材で判明した。　今回、警視庁が中国人の男を書類送検した事案と構図が似ている。　ティックは昨年 1 月に判明した三菱電機へのサイバー攻撃にも加担していた。　同社の調査によれば、従業員に送りつけられたウイルス入りメールや、社内のパソコンから見つかったウイルスの検知記録などから、13 年から 5 年半の長期にわたり、断続的に攻撃されていたことが判明した。

だが 18 年以降、ティックの攻撃はなりを潜め、今度は「BlackTech （ブラックテック）」という別の中国系ハッカー集団の攻撃が顕著になったという。　三菱電機では、20 年までの 10 年間で四つの中国系ハッカー集団による攻撃が観測されたという。　安全保障に詳しい専門家の見立てでは、ティックとブラックテックいずれも、中国人民解放軍とつながりのあるハッカー集団と目されているという。　標的とする組織や、組織の中国拠点を入り口に日本の本社に攻撃を仕掛ける手口など、両者は似通っている部分があり、「互いに連携しているのではないか」とするセキュリティー専門家の見解もある。　こうしたスパイ活動を目的とした海外のハッカー集団に対し、日本政府も危機感を抱き、対策を講じようとしている。

特に重要インフラ事業者はそれぞれの産業別に経済産業省や国土交通省、金融庁などと所管が分かれており、サイバー攻撃を受けた際の情報共有が大きな課題だった。　内閣サイバーセキュリティセンター (NISC) を中心に 19 年 4 月、サイバーセキュリティ協議会を立ち上げ、NISC や行政機関、重要インフラ事業者が情報を共有し、迅速な対応をめざす取り組みを始めている。　重要インフラ事業者とは、国民生活や経済活動の基盤となる事業者のうち、特に大きな影響が想定される産業を位置付けたもの。　情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の 14 分野がそれにあたる。 (編集委員・須藤龍也、asahi = 4-20-21)

三菱電機の場合 (11-20-20)

五輪関係の情報流出　チケット購入者らの ID・パスワード

東京五輪・パラリンピックのチケット購入者とボランティアが公式サイトにログインするための ID とパスワードとみられるデータが、インターネット上に流出していたことが 21 日、シンガポールのセキュリティー企業の調査でわかった。　さらに東京大会に関連した機密文書とみられる情報も見つかった。　同社は今月中旬、日本政府に情報を提供しており、大会組織委員会は「事実関係を確認中」としている。

調査したのはネット上の流出データの収集・分析をする企業「ダークトレーサー」。　取材に応じたルイス・ハー CEO （最高経営責任者）によれば、昨年 9 月以降、アカウント作成に必要なメールアドレスとパスワードの情報が流出していることを確認したという。　記者に示されたのは 11 件のアカウント情報だが「数百件漏れている可能性がある（ハー氏）」と話した。　情報は、購入者やボランティアが詐欺目的のフィッシングサイトなどに誤って入力した際に、盗み取られたものとみられるという。　同社は今月 14 日、顧客に五輪関係の情報流出に関する警告を発するとともに、日本政府に情報を提供した。　組織委の広報担当者は 21 日夜、朝日新聞の取材に対し、「事実関係を確認中」としている。

ハー氏はこのほか、闇のインターネット（ダークウェブ）上でハッカーが公開したとされる機密文書も示した。　文書は暗号化されていたが、「大会組織委のものとみられる電子情報が含まれている。　五輪の関係文書の可能性がある。」と述べた。　またアスリートや運営関係者、メディア関係者などが新型コロナウイルスに感染した際の公表範囲と陽性者の一覧表とみられる文書も見つかった。　ハー氏は「情報提供を通じて平和と安定のオリンピックに貢献したい」とコメントしている。 (編集委員・須藤龍也、asahi = 7-21-21)

「中国がサイバー攻撃関与」　米政権、同盟国と非難

米バイデン政権は 19 日、中国政府が米国などへのサイバー攻撃に関わっているとして非難する声明を発表した。　米政権高官は「さらなる行動を排除しない」として、強い措置をとる姿勢を示した。　日欧などの同盟国もサイバー攻撃を非難した。　非難声明は米国のほか、英国や欧州連合 (EU)、北大西洋条約機構 (NATO) などが一斉に発表した。　NATO が中国のサイバー攻撃を非難するのは初めてという。　米政権高官は「1 カ国だけでは中国のサイバー空間における振る舞いを変えることはできない」と語り、米国の同盟国・友好国が一緒になって中国に対して意思表示をする重要性を強調した。

米国はまた、中国政府が関与したとされるサイバー攻撃をめぐり、米国家安全保障局 (NSA) や米連邦捜査局 (FBI) が 50 以上の戦術を解析したとして公表。　米政権高官は中国の情報機関、国家安全省を名指しして「犯罪者集団のハッカーを使い、世界中でサイバー作戦を展開している」と指摘し、サーバーなどをウイルスに感染させ、「身代金」をとるランサムウェア攻撃など犯罪活動に関与しているという見方を示した。

さらに、3月に起きた米マイクロソフトの企業向けの電子メールソフト「エクスチェンジ・サーバー」に対して行われたサイバー攻撃にも言及。　米政権高官は、同省に関係するハッカー集団が行ったことに「強い確信をもつ」とした。 米マイクロソフトへのサイバー攻撃には、中国政府の支援を受けているとみられるハッカー集団が行ったという見方は早い段階から指摘されていた。　また、米司法省は 19 日、海南省安全部の当局者 3 人を含む 4 人を、2011 - 18 年に米国内などの企業や大学、政府機関を標的としたサイバー攻撃に関係したとして訴追した。

米国ではロシアなどのハッカー集団によるサイバー攻撃が問題視されており、5 月には米石油パイプラインがサイバー攻撃を受けて一時的に操業停止に追い込まれる事態となっている。

日本政府は 19 日夜、吉田朋之外務報道官談話を発表。 声明の中で触れているサイバー攻撃を行う特定のグループを「中国政府を背景に持つものである可能性が高い」とし、日本企業も攻撃対象となっていたと明らかにした。　米などの声明については「サイバー空間におけるルールに基づく国際秩序を堅持するとの決意を示すもの」として、強い支持を表明した。　日本のセキュリティー専門家で、NTT データの新井悠さんは、米政府が 50 以上の戦術を解析して公表したことについて、「中国ハッカーの手口をあえて『丸裸』にし、全てを把握している事実をアピールすることで、中国側を牽制する狙いがあるのだろう」とみる。

また公表手段として、サイバー攻撃対策を体系化した「マイターアタック」と呼ばれる世界共通の分類手法を使ったことについても、「民間企業などに広く情報が共有され、対策のヒントになる。　政府機関が公表に使ったケースは極めて珍しいのではないか」という。　新井さんは「政府機関はこれまで情報を囲い込むことが多かったが、共有した方が抑止効果が高いとの判断に変わったのかも知れない。　欧米のサイバーセキュリティー対策の方針が大きく変わりつつあると言えるのではないか」との見方を示した。 (ワシントン = 園田耕司、編集委員・須藤龍也、asahi = 7-19-21)

日本でも相次ぐサイバー攻撃　人材不足で「対応できず」

身代金目的のランサムウェアなどによるサイバー攻撃が、日本でも相次いでいる。　被害は企業が保管する情報だけでなく、サプライチェーン（供給網）にも広がる。 だが、セキュリティー人材は不足しており、対策が難しくなっている。

川崎汽船は 1 日、海外子会社が不正アクセスを受け、情報が流出した可能性があると発表した。　外部の専門家が調査にあたっているという。　「ここ 2、3 年、特にこの 1 カ月で急激に企業の防衛意識が高まっている。」　三井物産の子会社、三井物産セキュアディレクション (MBSD) のコンサルティングサービス事業本部長、関原優氏はそう話す。　攻撃に目を光らせ、被害からの復旧を手伝う、ホワイトハッカーと呼ばれる専門家の一人だ。

同社は従業員 264 人の大部分をホワイトハッカーが占め、防衛省や各業界の上位企業と契約する。　ランサムウェア防衛技術の特許を 2 件持つ。　被害の増加で業務は繁忙を極め、「感染してから相談されても対応できない状態（関原氏）」という。　セキュリティー会社のトレンドマイクロによると、20 年に同社に報告された国内のランサムウェアの被害件数は、前年の 1.8 倍となる 93 件だった。　米 IT 企業クラウドストライクによる 20 年の調査によると、対象の日本企業 200 社のうち 52% が過去 1 年間にランサムウェアの攻撃を受けたことがあり、そのうち32%が平均 117 万ドル（約 1.3 億円）の身代金を払っていたとされる。

ランサムウェアはコンピューターに感染してシステム上の情報を暗号化して接続不可能にし、暗号を解除する代わりに身代金を要求する。　支払わないとデータを消したり、世間にばらまいたりすると脅迫する。　昨年 6 月、ホンダの社内システムがランサムウェアとみられるウイルスに感染し、国外の 11 工場が停止した。　サイバー攻撃が供給網の停止を引き起こしたことから、日本の経済界に大きな衝撃が走った。　11 月にはカプコンに被害が出て、情報が流出。　今年 5 月には東芝子会社の欧州拠点も攻撃を受けた。

米国では今年 5 月、石油パイプラインが、ロシアに拠点があるとみられるハッカー集団「ダークサイド」からランサムウェア攻撃を受け、操業を停止した。　世界中で相次ぐ被害に、日本企業は備えを強めている。　5 - 6 月にかけて朝日新聞が国内主要 100 社にアンケートをしたところ、「情報流出対策を行った」企業が半数超の 54 社にのぼった。

だが、セキュリティー企業の対応も限界がある。　サイバー攻撃の増加に対し、セキュリティーの技術を持つ人材が足りないのだ。　MBSD では、トップエンジニアに対し、米巨大 IT 企業などをはじめ多くの引き抜きがかかっているという。　人材あってのセキュリティー企業で「顧客以上に社員を大切にしないとならない。　社員を守るためには顧客の要求も断らざるをえない。」と関原氏は話す。

NRI セキュアテクノロジーズの 20 年の調査によると、セキュリティー人材について「充足している」とした日本企業は、回答した 1,222 社のうち 1 割に過ぎなかった。　米国の 82% と比べて非常に低い状況だ。　英シンクタンク「国際戦略研究所 (IISS)」が公表した報告書で、日本について「サイバーセキュリティー能力は強くない」、「多くの企業が防衛力強化のためのコストを負担しようとしない」などと指摘した。

サイバー攻撃の増加を背景に、被害を補償する「サイバー保険」が世界的に広まる。　ただ、格付け会社の英フィッチレーティングスによると、20 年の米国のサイバー保険の保険料は、前年比で 22% 上昇した。　ランサムウェア攻撃の頻発で、支払われた保険金の平均額は、前年比 2.5 倍の 35 万 8 千ドルと大幅に増えたからだ。

日本の損害保険会社によると、日本のサイバー保険では、身代金は基本的に補償の対象外で、保険料の値上がりはない。　ただ、被害増を受け、「補償額が大きな契約には、サイバー攻撃への対応訓練を定期的にしているかといった備えを確認するようになってきた（損害保険会社広報）」という。　ただ、技術者を企業が奪い合っている状況で、後発組が十分な対策をとるのは難しい。　関原氏は「セキュリティー対策に勝ち組と負け組が出ている」と話す。 (福田直之、asahi = 7-2-21)

米パイプライン攻撃、身代金の大半回収 司法省発表

米国最大の石油パイプラインがランサムウエア（身代金要求型ウイルス）攻撃により停止を強いられた事件で、米司法省は 7 日、石油会社コロニアル・パイプラインがロシアを拠点とするハッカー集団「ダークサイド (Darkside)」に対して支払った身代金 440 万ドル（約 4 億 8,000 万円）の大半を回収したと発表した。

リサ・モナコ司法副長官は「われわれはきょう、デジタル通貨の形での犯罪収益を含め、ランサムウエアやデジタル恐喝攻撃の動力源となっているエコシステム全体を摘発することで、ダークサイドに反撃した」と述べた。　事件では、コロニアル・パイプラインがダークサイドに対し、暗号資産（仮想通貨）ビットコインで身代金を支払った。　司法省によると、支払われた75 ビットコイン（当時の相場で 440 万ドル相当）のうち、米連邦捜査局 (FBI) が 63.7 ビットコインを押収。　この間に起きたビットコイン価格の下落により、7 日時点での回収額は 230 万ドル（約 2 億 5,000 万円）となった。 (AFP/時事 = 6-8-21)

前　報 (5-15-21)

米国の食肉大手にサイバー攻撃　ロシア拠点の組織関与か

米ホワイトハウスは 1 日、国際的な食肉加工大手 JBS がランサムウェア（身代金ウイルス）攻撃を受けたと発表した。　身代金の要求は「ロシアに拠点を持つとみられる犯罪組織」から届いたといい、米政府はロシアに責任ある対応を求めたという。　JBS はブラジル資本で国際的に事業を展開する。　同社の発表によると、被害を受けたのは北米と豪州のシステムを管理するサーバー。　同社はこれらのシステムを停止し、米政府などに事態を報告したという。

ホワイトハウスのジャンピエール副報道官は 1 日の会見で、米政府がロシアと直接連絡を取り、「責任ある国家はランサムウェア犯罪者をかくまうことはしない」と伝えたと語った。　また米連邦捜査局 (FBI) は事件の捜査を開始した。　ランサムウェア攻撃による被害は近年、急増している。　5 月には米石油パイプラインが攻撃を受けて操業を停止した事件があり、ロシアに拠点を持つハッカー集団「ダークサイド」のランサムウェアを使った攻撃だったと判明している。

バイデン米大統領は 6 月 16 日、ロシアのプーチン大統領と初の首脳会談に臨む。　ジャンピエール氏は「ロシアの意図を知るには、プーチン氏から直接聞くことが最も効果的な方法だ」としており、首脳会談の場でもバイデン氏はサイバー攻撃など両国が対立する問題を話題に上げるとみられている。 (ワシントン = 高野遼、asahi = 6-2-21)

教員がアカウント乗っ取り被害　児童写真など閲覧可に

大阪教育大学と大阪市教育委員会は 24 日、小学校の教員がフィッシング詐欺に遭い、延べ約 1,300 人の児童の名前や顔写真などの個人情報が不正に閲覧できる状態になったと発表した。　今のところ個人情報の不正使用などの被害は確認されていないという。　大教大と市教委によると、詐欺に遭ったのは 2014 - 17 年度は大阪市立小で、18 年度からは大教大付属小で勤務する男性教員。

クラス写真や名簿をメモ代わりに私用のスマートフォンで撮影していたが、写真は自動的に私用のクラウドサービスにも保存される設定だった。　今月 3 日、宅配業者を名乗るショートメールが届き、クラウドの ID とパスワードを入力。　5 日、アカウントが乗っ取られていることがわかった。　個人情報の多くは顔写真や名前だが、一部には住所、電話番号、生年月日のほか、保護者から担任への相談内容が書かれた連絡帳も含まれる。　大教大はアカウントの停止を運営会社に求めるとともに、警察に対応を相談している。 (狩野浩平、asahi = 5-25-21)

メルカリ、2 万 7,800 件情報流出　不正アクセス、銀行口座番号も

フリーマーケットアプリ大手のメルカリは 21 日、アプリ利用者の銀行口座番号や取引先の氏名など計 2 万 7,800 件余りの情報が外部に流出したと発表した。　メルカリが契約する米企業のシステムが第三者から不正なアクセスを受けたという。　メルカリによると、流出した情報は、2013 年 8 月 - 14 年 1 月に取引代金の振り込みに使われた顧客口座などの関連情報（約 1 万 7,000 件）や、スマートフォン決済「メルペイ」の加盟事業者名（約 7,900 件）など。　現時点で顧客の被害は確認されていない。 (jiji = 5-21-21)

原子力規制委にサイバー攻撃、パスワード 250 件被害

原子力規制委員会は 20 日、庁内ネットワークへのサイバー攻撃が 2019 年から続いており、職員らがネットワークに入るための ID とパスワード 250 件以上が盗まれていたと発表した。　昨年10月に気付くまで、再三侵入されていたという。　核防護に関わる情報は別のシステムで管理しており、影響はないとしている。　規制委によると、不正アクセスを覚知したのは、20 年 10 月 26 日夕方。職員が利用する電子メールやファイル共有のシステムのサーバーに痕跡が残っていた。

調査したところ、19 年 8 - 9 月の間に、庁外からネットワークに接続するための「仮想プライベートネットワーク (VPN)）」機器の弱点を突かれ、職員や管理業者の認証情報 250 件以上が盗まれていたことが判明。　その後、盗まれた情報で 19 年 9 月と 20 年 3 月にも不正侵入され、20 年 10 月にはサーバーの設定ファイルなども盗まれたとみられる。　サーバーにあった職員が作成した資料や会議録などの行政文書の流出は確認されていないという。

規制委は「機器のプログラムは定期的に更新しているが、間に合わなかった」と説明。　今後、迅速に更新していくなどセキュリティーの強化を図る。　規制委は安全のため、外部ネットワークとの遮断を続けている。　職員は個人のメールで外部に連絡できず、部署ごとの共用メールや電話、ファクスを利用しているという。 (川村剛志、asahi = 5-20-21)