昨日、アサヒホールディングスがサイバー攻撃に関する記者会見を開き、約二時間にわたり質疑応答が行われました。国内で大型インシデントが相次ぐ中、この事案はその象徴的なケースとして社会的関心を集めています。
アサヒホールディングスの大規模サイバー攻撃は、一見すると、お金がある巨大企業だけの問題に見えるかもしれません。しかし、攻撃者は「大手企業の内部へつながる導線を攻撃者が選ぶ」という点にあり、この導線には中小企業が使用しているサーバーやホームページやメールシステムも含まれます。
攻撃者は守りの堅い大手企業を正面突破するよりも、関連・連結する脆弱な部分を足掛かりにして内部へ攻撃を展開します。日本の企業の九割以上が中小企業であることを考えると、WordPressのように普及しているCMSが攻撃入口となる可能性もあります。
攻撃の踏み台にされる
たとえば、基幹システムへの接続権限、IDやパスワードの管理、メールによる業務連携、広告管理画面やCMSへのアクセスなど、接点はいずれも攻撃者にとって価値があります。中小企業が扱うWordPressに関しては、ログイン情報が盗まれる、改ざんから不正スクリプトが埋め込まれる、メールアカウントが乗っ取られるなどの経路で、大企業への攻撃準備として利用される可能性があります。攻撃者はWordPress自体を壊すことが目的ではなく、そこから上流へ侵入するための弱点を探している可能性もあるのです。
中小企業はガバナンスが弱い
ガバナンスの面でも、大手企業は外部委託先の統制を強化しています。ゼロトラスト、アクセス制御、多要素認証、改ざん検知、ログ監査などが求められ、制作会社任せや放置されたWordPressは”取引リスク”とみなされます。中小企業のホームページ運用は、単なる広報活動ではなく、サプライチェーン全体のリスク管理の一部として扱われる段階に入ってきたのではないかと感じます。
攻撃されることを前提として考える
中小企業のキュリティ対策の第一歩として、”攻撃される前提”、”中小企業も狙われる”といった考え方を持つことからです。WordPressにおいては、更新管理、不要機能の削除、ログ監視、外部バックアップ、多要素認証の導入が基本となります。また、大手企業との接点を正確に把握し、その接点が攻撃経路にならないように管理することが不可欠です。メール、共有ストレージ、オンライン管理画面、受発注システムなど、どれも侵入ポイントになり得ます。
運用から防衛へ
今回のアサヒホールディングスの事案は、大企業の問題にとどまらず、中小企業のセキュリティ対策にも大きなインパクトがありました。規模に関わらず、弱点は多岐に渡ります。この視点を持ち、従来の「ホームページ運用」ではなく「企業防衛の基盤づくり」として思考を変えていく必要があるのではないかと感じています。
