HOME >  公開資料・報告書をお探しの方 > JNSA セキュリティ十大ニュース

JNSA 2024セキュリティ十大ニュース 〜選挙イヤーのサイバー空間は人類の幸福に味方できたのか〜

2024年12月25日
セキュリティ十大ニュース選考委員会委員長 大木 榮二郎

2024年は選挙の年、日本をはじめとして世界で重要な選挙が行われた。民主主義の根幹を支える選挙制度ではあるが、選挙によりかえって分断が進むなど、世界中で政治の安定に大きな疑問符が投げかけられている。その背景にSNSをはじめとしたサイバー空間の活動が深く関係している。

サイバー空間は物理的な制約を超越して個人間の情報や意見の交換に革命的な変化をもたらし、マスメディアの独壇場だった政治報道にも風穴があいたとともに、既成報道の虚実もあらわにした。その端緒は2010年から始まったアラブの春に見ることができ、民主化に大きく貢献したと言えるとともに、権威主義国の徹底したSNSの統制につながっているが、今年になって、これまで様々に指摘されてきた点が具体的な問題として噴出し、今後の民主的な政治体制の確立に大きな課題を突き付けたともいえる。
意見を同じくする者どうしを結びつけるとともに、意見の対立する者に排除の力が働くという二面性が、他者を許容しないところまで先鋭化するSNSの危険性が表出したとも言える。ポピュリズムの台頭やフェイクニュース、偽情報の拡散などはその典型であろう。

この原稿の執筆中に「ルーマニア大統領選 憲法裁判所が無効判断」のニュースが飛び込んできた。SNSを巧みに利用しロシア寄りの主張を掲げる無名の候補者が、本命視されていた現職の首相をも上回り大統領選挙で首位に立ったことに対し、憲法裁判所が「公正な選挙の過程が損なわれた」として選挙を無効とする判断を下したのだ。裁判所の異例の判断に批判の声も上がっていると聞く。わが日本においても、選挙ポスターや政見放送の乱用、当選を目的としない立候補、SNSの利用と選挙の公平性の確保など、選挙制度の在り方にもかかわる様々な課題が明らかになってきた。サイバー空間が人類の進歩と発展に寄与していくには、これらの問題にも解決策を模索していかなければならない。

このような選挙イヤー2024年の十大ニュースのトップはクラウドストライクが引き起こした史上最大規模の障害が飾ることになった。前向きのニュースとして能動的サイバー防御とAIセーフティ・インスティテュート (AISI)の設立がランクインし、KADOKAWAやイセトーのランサムウェア被害に太陽光発電やJAXAへのサイバー攻撃などに加えて、サポート詐欺やLINEへの行政指導のニュースが並び、選挙に影響を与えた偽情報やフェイクニュースは5位に入った。

サイバー空間は人類の幸福に味方するのか、あるいはさらなる混乱をもたらすのかの分岐点は技術に依存するというよりもますます政治への依存度を高めている。その政治体制の確立がサイバー空間に依存するとなると、混乱にさらに拍車をかけることにもなりかねない。サイバー攻撃の被害が拡大の傾向にあることも気がかりで、これらの懸念払しょくへの手がかりを早く確実なものにしたい、そう感じさせる今年のセキュリティ十大ニュースである。

2024セキュリティ十大ニュース


【第1位】 7月19日 「史上最大規模」の障害引き起こしたクラウドストライク
〜 影響受けた端末は850万台、損失は54億ドル 〜



【第2位】11月29日 「能動的サイバー防御」法整備への提言まとまる
〜 セキュリティクリアランス制度も具体化、頑張れ日本! 〜



【第3位】 6月9日 KADOKAWA「サイバー攻撃」が示した経営リスク
〜 ハッカー集団が闇サイトで犯行声明、36億円の特別損失を計上 〜



【第4位】 2月14日 AIセーフティ・インスティテュート (AISI) を設立
〜AI安全性評価法検討進む、一方セキュリティへの活用や悪用も進む 〜



【第5位】 1月1日 能登半島地震に乗じてSNS上に偽情報が拡散
〜 選挙でも増すSNSの存在感と問われる偽情報対策 〜



【第6位】11月21日 偽のウイルス感染警告を表示させるサポート詐欺に注意
〜 IPAへの相談件数過去最高、金銭被害に加え個人情報流出の可能性も 〜



【第7位】4月16日 LINEヤフーの情報漏洩に2度目の行政指導、国家間問題へ
〜 親会社との資本関係の見直しを求める総務省に韓国政府らが懸念表明 〜



【第8位】5月29日 イセトーへのランサムウェア攻撃 全国多数の委託元が影響を受ける
〜 委託元の自治体や企業などから被害公表が相次ぐか 〜



【第9位】5月1日 太陽光発電、サイバー攻撃の温床に IoT経由で不正送金
〜インターネットに直接つながるIoT機器の脆弱性、ハッカーが悪用 〜



【第10位】7月5日 JAXAにおいて発生した不正アクセスによる情報漏洩
〜 政府組織は高度なサイバー攻撃の標的としてより強固な対策を 〜

<2024セキュリティ十大ニュース>選定委員・解説
委員長・大木榮二郎/織茂昌之/唐沢勇輔/小屋晋吾/小山 覚/
下村正洋/杉浦 昌/須永知之/竹内和弘/西尾秀一/丸山司郎/持田啓司


【第1位】 7月19日 「史上最大規模」の障害引き起こしたクラウドストライク
〜影響受けた端末は850万台、損失は54億ドル〜

7月19日午前4:09(UTC時間。日本時間午後1:09)、Windowsマシンがブルースクリーンとなって停止する障害が世界中で多発した。特に業務システムに組み込まれたマシンでの発生が多く、航空会社、医療機関、放送メディア、小売業、金融機関などで、業務の一部もしくは全部が停止する事態となった。社会活動全般に対する影響が大きく、その発生がただちにマスコミで報道された。昨今の世界情勢から考えて大規模なサイバー攻撃を疑う声もあった。
原因はセキュリティ企業大手のクラウドストライクが提供しているセキュリティ製品の更新ソフトのバグであった。一般にエンドポイントセキュリティと呼ばれる端末を守るセキュリティソフトで、世界中で多くのWindowsマシンに適用されていた。セキュリティを重視するシステムに数多く導入されており、それゆえに今回は業務システムへの影響が大きいという皮肉な結果となった。マイクロソフトの発表によれば、850 万台の Windows 端末が影響を受けたとされている。
この結果、保険会社パラメトリックの試算で米フォーチュン500社の金銭的な損失は54億ドルに達し、保険対象の損失額は総額5億4,000万から10億8,000万ドルになる見通しという報道がなされた。
クラウドストライクによると、更新ソフトの配布を開始した時刻はUTC時間の午前4:09で配布を停止したのは午前5:27であった。このわずか1時間少々の間に世界中のシステムが大きな影響を受けたことになる。広く用いられるソフトに問題が発生した場合の影響の深刻さをまざまざと見せつける結果となった。
今回はサイバー攻撃ではなかったが、もしもこれがサイバー攻撃であったとしたら史上稀にみる甚大な被害を発生させたものであったろう。そのため、今回の事件はさまざまな問題を提起することになった。一つのソフトウェアあるいはハードウェアに依存することの危険性、システムを直接攻撃するのではなくシステムのコンポーネントを提供している企業に侵入してそのコンポーネントのユーザーを攻撃する可能性、アプリケーションの障害がカーネルレベルに影響を与えてシステムを停止させてしまうアーキテクチャの問題、さらには、独占禁止法との関係で通常のAPIよりも踏み込んだカーネルレベルに近いインタフェース情報を公開せざるを得ないマイクロソフトをとりまく状況など、多くの問題が議論されている。どれもすぐには解決出来ない問題であるが、社会全体が一丸となって立ち向かっていかねばならないであろう。



【第2位】 11月29日 「能動的サイバー防御」法整備への提言まとまる
〜セキュリティクリアランス制度も具体化、頑張れ日本!〜

11月29日、政府の「サイバー安全保障分野での対応能力の向上に向けた有識者会議」は、「能動的サイバー防御」の法整備に向けた提言をまとめた。2025年の通常国会で関連法案が成立すれば、我が国の安全保障を脅かすサイバー攻撃に対して、先進主要国並みの法制度が整うことになる。
提言の内容は主に(1)官民連携の強化、(2)通信情報の利用、(3)攻撃元へのアクセス(侵入)・無害化について、法制化に向け考慮すべき事項が書かれている。ここでは、セキュリティ関係者からの期待を述べさせていただきたい。

(1)官民連携の強化は、今年5月に始まったセキュリティクリアランス制度の活用を想定した取り組みである。政府がまず率先して民間に情報提供し、基幹インフラ事業者からはインシデント報告を義務化する。さらに保有する重要機器の機種名等の届出を行うことで、国からの攻撃関連情報の迅速な提供や、ベンダに対する必要な対応の要請を行うなど、サプライチェーンのセキュリティ対策は国レベルで束ねられる。セキュリティ対策のコスト負担の在り方など課題はあろうが、ぜひ実現して頂きたい取り組みである。

(2)通信情報の利用については、国が通信事業者から取得する通信のフロー情報を活用し攻撃元を突き止めるための施策である。総務省ICTサイバーセキュリティ政策分科会では「電気通信事業者におけるフロー情報分析によるC&Cサーバー検知及び共有に関する調査」の報告が行われており、その有用性が確認されている。しかし、国が行う通信情報の利用は、憲法第21条第2項の「通信の秘密」に抵触しかねない。提言では独立機関を設置し監督することで透明性の確保を行うとある。実現に向けた丁寧な取り組みに期待したい。

(3)攻撃元へのアクセス(侵入)・無害化については、民間では防ぐことが難しいAPT攻撃や破壊的な攻撃への対応として大いに期待したい施策である。米国での実例もある。米国FBIは1月31日、中国政府が支援するサイバー攻撃組織の活動を阻止したと明らかにした。アメリカの電力網や燃料パイプラインが攻撃標的にされていたのだ。まさに「攻撃元へのアクセス・無害化」が行われた事例と思われる。国が国民の生命、身体及び財産の安全を確保するため、国にその権限を与えることは、論を待たない。

世界中で戦争や紛争が絶えない今日、我が国においても政府機関、重要インフラ事業者、製品ベンダなど、サプライチェーンに関与する全ての関係者が連携してサイバーセキュリティの確保に努めていかねばならない。能動的サイバー防御の法整備が円滑に進むことを見守りたい。



【第3位】6月9日 KADOKAWA「サイバー攻撃」が示した経営リスク
〜ハッカー集団が闇サイトで犯行声明、36億円の特別損失を計上〜

2024年6月9日、KADOKAWAはニコニコ動画など同グループの複数のWebサイトが6月8日未明より利用できない事象が発生したと公表した。

システム障害の原因はランサムウェアによるもので、主要サービスであるニコニコ動画は復旧まで約2か月を要した他、書籍の出荷遅延や公式サイトの停止などの長期にわたるサービス停止の影響があった。また、外部への情報漏えいについても、同社の2024年11月の発表では合計261,956人分の個人情報や、契約書などの企業情報の漏えいが確認されている。
また問題はサービス停止や情報漏えいだけにとどまらず、流出した情報がリークサイトを経由してSNSや匿名掲示板に公開されるなどの悪質な情報拡散が確認されたり、ハッカー犯罪集団が金銭を受け取ったとする声明を出したりと、様々なネガティブな要素をはらんだ事件となった。

ところで、サイバー攻撃による被害は多額なものとなるという試算は、JNSAのインシデント被害調査WGの調査からもわかるところだが、KADOKAWAグループでは、この大規模なサイバー攻撃の影響により2024年度の第1四半期決算時には、2025年3月期に36億円の特別損失を計上する見通しだと発表した(11月の第2四半期決算時には24億円に修正)。傘下のドワンゴが提供する動画共有サービス「ニコニコ動画」の停止などでクリエーターへの補償費用やサーバなどの復旧費用に充てるための費用ということだ。
提供しているサービスや公式サイトは2024年10月にはほぼ復旧したとのことだが、現在も匿名掲示板やSNSなどへの悪質な情報拡散行為を特定し、運営者に対する削除要請および情報開示請求を進行中であることから、人件費や逸失利益を含めると損失額は変動の可能性が高く、経営の先行きは不透明であるといわざるを得ない。

今回の事件は図らずもサイバー攻撃を受けるとお金がかかるということを明示してくれた事件となった。さらには損害額だけではなく、ハッカー集団の「BlackSuit」が犯行声明を出したり、身代金を受け取ったとするメールをKADOKAWAに送ったとされるなど闇の部分も多く、ランサムウェアによる事件の対応の難しさを痛感した。広範に渡る影響によって、想定以上の経営リスクとなりうることを肝に銘じて、高い抵抗力と早期の回復力を持ったセキュリティ対策になっているか、あらためてチェックすべきであろう。



【第4位】 2月14日 AIセーフティ・インスティテュート (AISI) を設立
〜AI安全性評価法検討進む、一方セキュリティへの活用や悪用も進む〜

IPAは2月14日、AIの安全性に関する評価手法を検討するため「AIセーフティ・インスティテュート(AISI)」設立した。AISIは、AI利用の指針策定、安全性評価、国際連携を担い、企業が安全なAIを開発・活用できる環境整備を進める。異なる地域ごとのコンプライアンスに対応するグローバルな基準の策定も重要であり、AIの安全性評価や他国との連携を通じて、信頼性の高いAI技術の普及が進むと考えられる。4月には「AI事業者ガイドライン」、9月に「AIセーフティに関する評価観点ガイド」が公開されており、今後の安全利用の促進に期待したい。

サイバーセキュリティにおいても、AIは攻撃と防御の両面で中心的な役割を果たしつつある。攻撃側はAIを用いて脆弱性を特定し、フィッシングメールや自動生成されたマルウェアで高度な攻撃を展開するなど、AIは自己学習を通じて攻撃手法を改善する能力を持つため、従来の固定的な防御策では対応が困難な事態を招くおそれがある。一方、防御側もAIを活用して異常検知システムを強化し、不審な挙動をリアルタイムで検知する製品を開発している。AIは過去の攻撃データを学習し、新たな脅威に迅速に適応できる特性を持っており、未来のセキュリティ対策においても重要な役割を果たすだろう。

将来、AIを利用したサイバー攻撃と防御の「軍拡競争」はさらに激化すると予測される。特に、量子コンピューティングの進化や、生成AIによる攻撃コードの自動生成技術が普及する可能性が指摘されている。一方で、防御側はこれに対応するため、AI間の協調や国際的なセキュリティフレームワークの構築を進める必要がある。たとえば、AI間で脅威情報を共有するシステムや、倫理的なAIの使用を監視するルール作りが求められるだろう。AISIの活躍の幅も広がっていくに違いない。
AIはサイバー空間のリスクと機会の両方をもたらす諸刃の剣。攻撃と防御のバランスを保ち、倫理的なAI活用を確保することで、安全なデジタル環境の実現が期待される。



【第5位】 1月1日 能登半島地震に乗じてSNS上に偽情報が拡散
  〜選挙でも増すSNSの存在感と問われる偽情報対策〜

令和6年能登半島地震の際、SNS上で多くの偽情報が拡散された。具体的には、過去の津波映像を用いた誤った被害報告や、気象庁が人工地震を認めたとする虚偽の投稿が広まった。背景には、SNSの投稿でインプレッション(閲覧数)が一定数以上になると収益を得られるため、事実かどうかというよりはセンセーショナルな投稿、いわゆる「バズる」ような投稿をしやすいという構造がある。今回のケースでは政府や各メディアにより一斉に偽情報にたいする注意喚起が行われており、私見だが実際の混乱は抑えられたのではないかと考えている。(参考記事@参考記事A
序文で言及されていた通り今年は選挙イヤーであったが、選挙結果に占めるSNSの重要性が一段上がった年だったのではないだろうか。ドナルド・トランプ氏は大統領選挙の年に、イーロン・マスク氏率いるX (旧Twitter) のアカウントを復活し直接ユーザーにメッセージを届けていた。カマラ・ハリス氏も同様で、共和党・民主党双方がSNSを最大限活用して戦いを繰り広げていた。7月の東京都知事選挙ではSNSを駆使した石丸伸二氏が2位の得票を獲得。衆議院選挙での国民民主党の躍進にはYouTube等のSNSの活用があったと言われている。また、兵庫県知事選の斎藤元彦氏の再選にも寄与したと言われる。このようにSNSの影響力が拡大すると、当然SNS上での誹謗中傷や偽情報がより問題になってくる。ルーマニアの大統領選挙では事前調査で支持率1%未満だった候補者が1回目の投票で23%の得票率で1位になったが、当局の調査でロシアの介入が指摘され、憲法裁判所が1回目投票を無効にするという事態になっている。我が国の選挙においては、公職選挙法の制約を受けてオールドメディアの情報発信が限られる中で、SNS上での情報発信にどういった規制があるべきか議論が巻き起こっている。民主主義の根幹である選挙をフェアなものにするためにSNSをどう活用し、コントロールするか、人類の英知が試されているのではないか。
なお、我が国では「フェイクニュース」という言葉が一般的に広く用いられているが、安全保障上の文脈などでは以下の3つの概念があるため、この機会におさえておいても良いのではないだろうか。

・Misinformation (誤情報) ; 故意や悪意はないが、事実誤認やミスリーディングを含むもの
・Disinformation (偽情報) ; 悪意を持って広められた、事実と異なるもの
・Malinformation (悪意の情報) ; 事実だが、悪意をもって広められたもの(機密情報の暴露など)



【第6位】11月21日 偽のウイルス感染警告を表示させるサポート詐欺に注意
〜IPAへの相談件数過去最高、金銭被害に加え個人情報流出の可能性も〜

11月21日IPAよりPCに偽のウイルス感染警告を表示させるサポート詐欺への注意の情報が公開された。サポート詐欺の相談件数が2024年4月には過去最高の823件となり、被害拡大防止のため窓口だよりにて注意喚起が出されている。同様な詐欺内容での警告は全国の警察等からも多く出されており、詐欺被害が多く認識され、かつ、継続されていることがうかがわれる。
偽セキュリティ警告詐欺では、サポートサービスやソフトウェアの費用の請求のみならず、電話をかけた際に誘導されリモートアクセスプログラムのインストールをしたことからPCがコントロールされる二次被害として新たに個人情報の漏えいも多々見られている。
例えば、高齢・障害・求職者雇用支援機構では3月11日、委嘱したプランナーが自身の保有するPC を利用中にサポート窓口に電話をし、遠隔操作ソフトをダウンロード・インストールさせられた結果、約3時間の間、第三者にPCへのリモート接続を許した。これにより、PCに保存されていた同機構から提供した都内591社の企業情報・個人情報が漏えいした可能性があることを確認した。
また、ウエルシア薬局は11月8日、運営する公式通販サイトに携わる従業員が、業務用PCを通じたサポート詐欺による不正アクセスを受け、39,805人の個人情報が漏洩した可能性があると発表した。その他にも熊本県暴力追放運動推進センターにおいて相談者約2,500名分の個人情報が流出したおそれや、笛吹市商工会ではインターネットバンキングのパスワードを伝えるなどした結果あわせて1,000万円をだまし取られたなどが報道されている。

サポート詐欺は、今後さらに AIを活用してよりリアルな会話を生成し、巧みに信頼感につけ込み、SNSや公開情報を利用してターゲットの個人情報を収集することから、被害者は詐欺だと気づくのが益々難しくなることが容易に予想される。

これらの悪意の罠に騙されぬように、個人としては慌てず個人情報の提供を一旦留めること、家族や友人と共有して助け合うこと、社会的な対応ではより一層の法規制の充実、詐欺に関する情報提供や啓発活動、悪質サイトのブロック強化等が従来の詐欺対策と同様に大切なことと考える。



【第7位】 4月16日 LINEヤフーの情報漏洩に2度目の行政指導、国家間問題へ
〜親会社との資本関係の見直しを求める総務省に韓国政府らが懸念表明〜

2023年11月、LINEヤフーのシステムに対し、韓国の関連会社であるNAVER Cloudの委託先企業のPCがマルウェアに感染したことを起因とした不正アクセスが行われたことが公表された。この攻撃はLINEヤフーとNAVER Cloud共通の認証基盤を悪用し、10月に発覚した。その後、2024年2月に最終報告書が公表され、ユーザーや取引先、従業者に関する約52万件の個人情報が漏えいしたことが判明した。特に影響を受けたのは、日本国内のユーザー13万人を含む個人情報、取引先メールアドレス情報、従業者の名前や写真などの情報であった。
過去、LINEヤフーの前身であるLINE社に対しては、開発を委託していた中国企業から日本国内のLINE利用者に関する個人情報へのアクセスを認めていたり、LINEのすべての画像や動画を利用者に明かさずに韓国企業NAVERのデータセンターに保管していたなどの問題があったとして、2021年4月に総務省の行政指導を受けていただけに、多くの政府機関や自治体がLINEを活用している中、日本国民の大量の個人情報を扱う企業として、サイバーセキュリティ対策やプライバシーの重要性をどのように考えていたのかが厳しく問われることとなった。

今回の事案を受け、総務省は2024年3月4月の2度にわたりLINEヤフーに対して行政指導を実施した。2021年の行政指導に対するその後の報告も曖昧だったため、総務省がより厳しい対応をしたということだろう。この中でLINEヤフーのIT基盤がNAVERに依存していることの見直しや、グループ全体のセキュリティガバナンスの見直しが必要であるとした上で、親会社NAVERとの資本関係の見直しにまで踏みこんでいる。これに対し、韓国政府や市民団体等は、日本の措置が韓国企業に対する差別的措置と解釈される可能性があるとの懸念を表明した。また、NAVERのCEOは、「資本関係の見直しを要求する行政指導自体が異例だ」と反発をしている。グローバルなサプライチェーン・セキュリティを考える上で、国家間の問題にまで発展する可能性についても考慮する必要があることは、この問題の解決をさらに複雑化することになるだろうが、両国政府や関係者の冷静な対応による早期の解決が望まれる。



【第8位】 5月29日 イセトーへのランサムウェア攻撃 全国多数の委託元が影響を受ける
〜委託元の自治体や企業などから被害公表が相次ぐ〜

5月29日、株式会社イセトーは、同社の一部サーバやPCがランサムウェアにより暗号化される被害が発生したと公表した。その後6月18日に、攻撃者グループのリークサイトにおいて同社から流出した情報の掲載が確認された。この攻撃者グループは「8Base」を名乗るハッカー集団であり、最近日本の中小企業を相次いで攻撃しているとのことである
イセトーは全国の自治体や企業から、顧客への通知等の印刷業務などを請け負っており、これら委託元が相次いで情報漏洩被害を公表する事態となった。流出した個人情報は約150万件に上るとみられる。

10月4日にイセトーより公表された続報で、情報漏洩の原因が次のように示されている。
「VPNからの不正アクセスにより当社ネットワークに侵入した攻撃者によって、当社が一部のお取引先様の受託業務の作業工程で発生した帳票データや検証物の一部の情報が窃取されました。当該情報を取り扱ってはならないサーバに作業の効率を図るため便宜的に保管し、また業務終了後には速やかに削除すべきデータを削除することができておりませんでした。」
情報窃取されたサーバは、受託業務におけるデータの取り扱い管理区域外のサーバとのことである。不正アクセスを受けたが、ルールを順守した運用がなされていれば委託元から預かる情報の漏洩は防げたということであり、ルールはあったが適切に運用されていなかった(あるいは、ルール自体が適切でなかった)ために発生した情報漏洩といえる。

サプライチェーンという観点で見ると、委託元利用者向け書類の印刷等を請け負うイセトーは、サプライチェーンの中で、デジタル世界のサービスとその利用者とを物理的につなぐ接続点に位置すると捉えられるのではないか。このような位置づけの企業には必然的に委託元の利用者情報が集まり、その確実な管理が求められる。

イセトーによる上記続報では、発生原因を踏まえた再発防止策も示されている。多数の組織から委託を受けそれら組織の情報を預かり業務を進めるという、サプライチェーンにおいて重要な位置を占める自らの立場をあらためて全社で認識いただき、経営者リーダーシップのもと全社を挙げて再発防止策が確実に進められることを望む。



【第9位】 5月1日 太陽光発電、サイバー攻撃の温床に IoT経由で不正送金
〜インターネットに直接つながるIoT機器の脆弱性、ハッカーが悪用〜

5月1日、複数の報道機関が、太陽光発電施設の遠隔監視機器(IoT)約800台がサイバー攻撃の対象となり、その一部が乗っ取られ、インターネットバンキング預金の不正送金に悪用されていたことを報じた。
過去、IoT機器へのサイバー攻撃と言えば、その機器を停止させる、誤動作させる等の機器自体への行為がほとんどであったため、機器自体は問題なく作動しているなかで悪用されていたという今回の事件は改めて脆弱性管理の重要性を思い知らされた。

サイバー攻撃を受けた機器は小規模太陽光発電設備として分類される発電量50Kw未満の設備で、FIT認定設備 約286万件のうち98.7%(約282万件)を占めている。また、発電量は太陽光発電の42.4%を占めており、近年は季節や時間によっては電力需給に影響を与えかねない
このような小規模太陽光発電設備ではあるが、サイバーセキュリティ対策については大規模発電施設や運営者と比較して厳格に求められず、電気事業法上でサイバーセキュリティ確保に特化した明確な技術基準適合義務が規定されていなかったこともあり、運営者は設備機器に対するサイバーセキュリティリスクの意識が高くないと思われる。
また、固定価格買取制度(FIT)による再エネ事業は、確実性の高い事業投資として展開されてきたこともあり、脆弱性対応といった想定外の運用に対しては消極的になりがちであるという背景も今回の事件に影響しているとみられている。
運営者は設備機器の脆弱性管理を適切に行わないとサイバー攻撃の餌食になってしまう恐れが高くなることを肝に銘じておくべきである。

インターネットにつながっていない機器、設備を見つける方が難しくなっている現代、ICTセキュリティと並びIoTセキュリティがサイバーセキュリティの鍵となる時代がもう来ている。



【第10位】 7月5日 JAXAにおいて発生した不正アクセスによる情報漏洩
〜政府組織は高度なサイバー攻撃の標的としてより強固な対策を〜

7月5日、宇宙航空研究開発機構(JAXA)は、外部機関からの通報を受け一部のサーバに対する不正アクセスを認知し、情報漏洩が発覚したと発表した。ところが、その直前に朝日新聞社の記事で既に、侵入手段や攻撃されたシステムまで明らかにされていたのに比べ、JAXAの発表内容は非常に簡素であり情報公開に対する透明性や信頼性に疑問が生じる内容であった。
JAXAは日本における宇宙開発の中核的組織であり、過去にも複数回(2011年2013年2016年)サイバー攻撃を受けた経験があることから、サイバー攻撃への高度な対策が取られているものと期待していたが、いくつかの問題点で裏切られた印象を受ける。

まず、侵入に気づくまでに4ヶ月もかかり、内部監視体制に不十分な点があったこと、次に、VPN経由の侵入手段はランサムウェア攻撃でよく使われる手口であり、JAXAがこの脆弱性に対する対策を強化していなかったこと、事件発覚後も同様の侵入が続いたこと、などから、脆弱性対応の遅れや不備があったに違いない。
情報公開のタイミングにも問題がある。JAXAは通報を受けてから9ヶ月後に公表したが、民間企業であれば炎上するレベルの遅れと内容であり、リスクコミュニケーションの不足が指摘される。

JAXA以外の日本の重要機関もサイバー攻撃の標的となっており、例えば外務省(2020年)や内閣官房内閣サイバーセキュリティセンター(2023年)も攻撃を受けている。これらの事例から、日本の中枢機関がサイバー攻撃に対する対応が不十分なことが懸念される。
今後、行政活動がますますサイバーに依存していく中、重要情報を扱う組織は高度なサイバー攻撃に対する認識を深め、より強固なセキュリティ体制の構築を目指していただきたい。

編集後記                                  JNSA事務局長 下村正洋

今年もJNSA十大ニュース選考委員会がスタートしました。大木先生の多大なるご指導のもと、無事に発表することができました。大木先生、ありがとうございます。そして、委員の皆さま、年末のご多忙の中、執筆にご協力いただき、感謝申し上げます。

さて、選考委員会の様子をご紹介します。メンバーは大木委員長をはじめ、いつもの顔ぶれです。今年はハイブリッド形式ではなく、リアル参加のみとし、リモート参加の選択肢は設けませんでした。その結果、総勢12名のうち3名が選考委員会を欠席する形となりました。ただし、欠席者からは事前にノミネートをいただいており、執筆担当については出席者の合議のもと強制的に割り振りました。それにも関わらず、ご執筆いただいたお三方には感謝申し上げます。
委員会の進行状況ですが、今年も多少のトラブルがありました。オンライン併用をしない形式のため、Web会議関連のトラブルはないと安心していたのですが、ノミネートの整理と投票にコラボレーションシステムを使うことが開始時に伝えられ(そんなこと聞いてなかった……)、またもやトラブルが発生。人間の進化のスピードを無視したITの進化について憤慨して、「勝手に進むなIT!」と心の中で叫んでいるうちに、なんとかトラブルが解消され、委員会が始まりました。
ところが、コラボレーションシステムを使ってノミネートを整理していると、どうも違和感のあるノミネートボード(各委員が提出したノミネートを付箋風に貼り付けたファイル)が表示されました。検討を進めようとしたところ、なんとそのファイルが2022年のものであることが判明。「あまり変わっていないなあ……」という声が上がり、一同納得。それもそのはず、2年程度では劇的な変化はないのかもしれません。
では、23年前の状況はどうだったのでしょうか?JNSA十大ニュースは2001年からスタートしており、その当時のニュースは欄外のリンクからご覧いただけます。23年の月日を経て、どれほど変わったのか興味深いですね。また、2000年以降のセキュリティ年表(注)も合わせて見ることで、世相の変化をより深く知ることができると思います。ぜひ参考にしてください。

編集後記が長くなってしまいました。最後に、惜しくも選外となったニュースもご紹介しておきます。「相変わらずのシステム障害」「情報不正流出」「LockBitのテイクダウン」「ポケベル攻撃」などが挙げられます。

それでは、皆さま、どうぞ良いお年をお迎えください。

注:JNSAセキュリティ年表URL:https://www.jnsa.org/aboutus/chronology/index.html



※本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。

JNSAが選ぶ「セキュリティ十大ニュース」|過去の10大ニュースも併せてご覧ください。
2001年 2002年 2003年 2004年 2005年 2006年
2007年 2008年 2009年 2010年 2011年 2012年
2013年 2014年 2015年 2016年 2017年 2018年
2019年 2020年 2021年 2022年 2023年  
JNSAソリューションガイド