今年5月、多くの金融機関や地方公共団体などから業務委託を受けている情報処理サービス企業イセトーがランサムウェア攻撃を受け、大量の委託先から預かっていたデータが暗号化されたり窃取されるという事件が起きた。身代金要求があったか、支払ったのかなどの経緯は不明だが、6月になってデータがリークサイトに上げられていたことが分かった。そのサイトからダウンロードした者がどれだけいたかは、分かっていない(*1)。
驚かされたのはその規模である。総データ量150万件ほど、漏えいの可能性ある企業・団体数22。地方自治体や金融機関、教育委員会などの名が並ぶ。イセトーは個別のこれら被害企業・団体に報告したので、6~7月にかけて企業等が一斉に被害を公表し「ランサム漏えいの季節」がやってきたとすら思えた。
このように業務委託先が被害に遭って漏えいなどが起きるのも、ある種のサプライチェーンリスク。攻撃側とすれば、個々の企業を狙うより「一網打尽」にできるので効率がいい。狙われやすいゆえ、委託を受ける企業としてはより一層のサイバーセキュリティ対策を採る必要がある。類似の事件は、直近でもいくつも起きている。
・8月、損保会社の査定を請け負う東京損保鑑定からの流出
・9月、発送業務を請け負う倉業サービスからの流出
・9月、システム開発を請け負うヒロケイからの流出
などである。3番目の件は、クボタ健保が関西情報センター(*2)にシステム開発運用を委託、同センターがヒロケイに開発を再委託していたので、クボタ健保の情報がヒロケイから流出したものだ。
情報処理などの業務は専門事業者がまとめるのが、社会全体としては効率的。それが犯罪者側にも、効率的になってしまっている。今年4月、経産省が企業のサイバー対応力を5段階格付けする構想を公表した(*3)。格付けを受けることのメリットとコストが議論になるのだが、リスクが高い委託業務を受けている企業などは積極的に格付けを受け、それを受注活動に活かしてほしいと思う。
*1:イセトーから個人情報の漏洩のあった委託元一覧 ランサムウェアで被害 | ツギノジダイ (asahi.com)
*2:関西情報センターは、関西ではサイバーセキュリティの旗手として知られる。私も何度かイベントに協力させていただいている、熱心な団体である。