近年、サイバー攻撃は企業規模を問わず発生しており、対策が十分ではない中小企業にまで攻撃の標的を広げています。
またサイバー攻撃の方法は多様化・高度化してきており、攻撃を完全に防ぐことはできません。
サイバー攻撃を防ぐためのセキュリティ対策はもちろん必要ですが、攻撃を受けたことにより個人情報が漏えいしてしまった場合にも備える必要があります。
本記事では、製造業で発生した個人情報漏えい事故の事例や、備えておくべき対策について解説していきます。
製造業の事業継続を脅かすサイバー攻撃
製造業ではICT化が急速に進んでおり、同時にサイバー攻撃のリスクも急激に高まっています。製造現場は工場内の製造装置システムや生産管理システムと通し、社内ネットワークにもつながりがあるためシステム停止の影響範囲が広く、製造ラインの脆弱性をつき攻撃対象となってしまった場合、大規模なリスクへ発展することも考えられます。
ひとたびサイバー攻撃を受けると、機器の故障やサーバやシステムの停止の上に、ネットワークへの不正アクセスへ発展してしまった場合は、機密データの流出や、さらに他社へ攻撃をする踏み台として使用されることも考えられるのです。
そして工場が再稼働できるまでの調査期間が長引くことにより、サプライチェーンへの寸断につながり事業継続の危機に発展する場合も考えられます。
甚大な被害をもたらすサプライチェーン攻撃
「サプライチェーン」とは商品やサービスを製造し、消費者へ販売するまでの一連のプロセスのことを指します。
「サプライチェーン攻撃」とはそのサプライチェーン上にある中小規模の企業を経由し、本命の標的である大企業に侵入を仕掛けるサイバー攻撃です。気づかぬうちに自社が踏み台となり取引先に甚大な損害を与えてしまうという特徴があります。
サプライチェーン上には複数の企業が関与しているため、まずはセキュリティの薄い中小企業を攻撃し踏み台とし、真の目的であるターゲット大企業に侵入後、ランサムウェアなどに感染させ業務に支障を与えて金銭を要求するという流れで攻撃者が利益を得ることになります。
国内においては、2022年に入ってから自動車のサプライヤー企業にサプライチェーン攻撃が次々と仕掛けられ、関連のある工場やその企業に関係する複数の自動車メーカーが一部の生産を見合わせる事態に発展しました。
▼サプライチェーン攻撃に関しては、以下の記事もご覧ください。
なぜ中小企業が狙われる「サプライチェーン攻撃」とは?
生産現場がサイバー攻撃の標的に
製造業がサイバー攻撃を受けると、親会社や子会社、取引先といったサプライチェーン全体に被害が広がってしまいます。近年ではサイバー攻撃の方法が多様化しているため、会社の端末の一部にでも不正アクセスが発生すると、工場のシステムや重要インフラにも被害が出てしまう可能性があります。
国内のメーカーでは、まだサプライヤーに対してセキュリティ面の監査を求めていませんが、欧米ではサプライチェーン全体にサイバーセキュリティ対策を義務化する動きが出てきています。欧米ではセキュリティ対策のガイドラインを策定しており、セキュリティ要件を満たさない事業者、製品、サービスはグローバルサプライチェーンからはじき出される恐れがあります。
日本でもサイバーセキュリティ対策のフレームワークを策定する動きが進んでいるため、今後は企業の規模にかかわらず、産業全体でセキュリティ対策を整備していくことになるでしょう。
もしサイバー攻撃にあってしまったら
もしも生産現場が標的型攻撃等のサイバー攻撃にあってしまったら、初動では被害が広がらないようシステムを停止し、被害範囲の調査を行うことになります。被害範囲の確認中は生産ラインも止まっているため、取引先へ納期の遅れなどへつながるケースもあります。 さらにパソコンやネットワーク、社内サーバーもウイルス等に感染していた場合は、サイバー攻撃の侵入経路、不正な挙動を解析するためのフォレンジック調査が必要となり、今後のセキュリティ対策が決定するまでは営業も事業も再開できなくなります。
その上、納期遅れにより取引先へ損害を与えた場合は、契約違反に基づく債務不履行にあたり契約解除や損害賠償請求で訴訟を提起されてしまう可能性があります。
特にランサムウェア等の凶悪なマルウェアに感染してしまった場合は、感染した社内データが暗号化されてしまい読み取りができなくなる上に、機密データの窃取をされてしまいます。
その機密データに取引先の重要データが含まれていた場合には、より深刻な問題と発展するでしょう。
従業員のミスによる他社への損害は?
ここまでサイバー攻撃による損害の話をしてきましたが、外部からの攻撃だけではなく従業員のミスや不正など、内部原因による事故も少なくありません。メールの誤送信や、端末の持ち出しによる紛失などを原因とした情報漏えい事故も未だに多く発生しています。
サイバー攻撃への対策としてセキュリティを万全にすることも大切ですが、人的ミスによる情報漏えい事故が起こらない仕組みづくりや、セキュリティリテラシーを上げる社内体制作りも有効な対策といえます。
製造業で発生したサイバー攻撃の事例と対策
ここからは、日本の製造業で発生したサイバー攻撃や従業員の不正利用による情報漏えい事故の事例を見ていきましょう。【ランサムウェア感染】部品製造業A社の事例
● 事案の経緯A社のファイルサーバーで障害を検知し、再起動して確認したところ、一部のサーバーでウイルス感染(ランサムウェア感染と脅迫メッセージの存在)を確認しました。A社は翌日中に外部専門家を含む対策チームを設置し、サーバーの停止およびネットワークの遮断を行い、すべてのシステムを停止しました。これにより取引先の製造会社は、国内全14工場28ラインを1日停止することになったとしています。
● 調査により判明したこと
不正アクセスの原因は、A社の子会社が独自に外部企業との通信に利用していたリモート接続機器であることが判明しました。リモート接続機器のセキュリティのぜい弱性が狙われたようです。攻撃者はそのリモート接続機器から子会社内のネットワークに侵入し、親会社であるA社のネットワークへ侵入したとされています。
ランサムウェア感染の影響により、A社のサーバーやパソコン端末の一部のデータは暗号化されましたが、脅迫文には具体的な身代金額の記載はなかったようです。また侵入経路や被害内容について情報漏えいの可能性を含めて調査を行ったところ、外部へ持ち出された痕跡は確認されなかったとしています。
【従業員の不正利用】製造会社B社の事例
● 事案の経緯T社の販売会社において、顧客の同意を得ずに個人情報を社内サービスIDの発行登録に使用していたことが判明しました。その後、同様の事象が生じていないか全国257社の再点検を実施した結果、販売会社27社(5,797件)においても同様の事例があったと認められたようです。
● 調査により判明したこと
顧客本人の同意を得ずに登録された個人情報には、顧客の名前、生年月日、性別、住所、電話番号、契約車両の所有情報が含まれていました。本件判明後、B社が保有するサーバーに保管されていた対象のIDおよびこれらの個人情報は、社外へ提供された事実がないことを確認したうえで、削除を行っているとしています。
【不正アクセス】総合電機メーカーC社の事例
● 事案の経緯C社が新たに導入したクラウド監視システムが、C社の契約しているクラウドサービスに対する不正アクセスを検知しました。C社は直ちに当該不正アクセスを遮断するなどの対策を講じるとともに、流出した情報の対象となる取引先に対して個別に報告を行い、コールセンターを設けて問い合わせ等に応じました。
その後調査を進めるなかで、当該不正アクセスにより、取引先の情報の一部(金融機関口座や個人事業主の氏名、所在地等の情報)が流出したことが判明したようです。
● 調査により判明したこと
今回の不正アクセスは、中国にあるC社の子会社への不正アクセスをきっかけとして、第三者がM社および国内子会社の一部従業員のクラウドアクセス情報を窃取し、C社が契約しているクラウドサービスおよび関連サーバーを攻撃した者であることが判明しました。マルウェアによる攻撃ではなかったため身代金等の要求がなく、全容の調査に4カ月ほどの期間を要したとしています。
製造業のサイバー攻撃により想定される損害費用額とサイバー保険
実際サイバー攻撃により想定される費用損害額は以下のとおりです。製造業A社(従業員数50名・年間売上10億円)の事例
・工場内PCのランサムウェア感染により生産ラインを1日停止・想定被害額 1,040万円(年間売上の約1%の損害)
・費用損害:調査・復旧費用1,000万円
・利益損害:逸失利益40万円
上記は生産ラインを1日停止しただけの被害でしたが、実際に情報漏えい事故が発生してしまった場合には、フォレンジック調査(攻撃を受けたパソコンなどのデータを解析して法的証拠を見つける調査)が必要となり、工場内のPCやタブレット、専用端末などにウイルス被害や不正アクセスがないかの調査を行うことになります。
フォレンジック調査は1台あたり数十万円の費用がかかるため、端末が増えるほど調査費用・復旧費用が増加してしまいます。
前章でご紹介した通り、サイバー攻撃の全容の調査には数ヶ月かかってしまうケースもあり、その間営業停止となってしまうケースも多々あります。
これらをすべて補償してくれる保険がサイバー保険です。
製造業がサイバー保険に加入することで備えられる補償とは
製造業がサイバー攻撃への対策として備えられる補償は以下のとおりです。・事故対応にかかる費用
・事故原因調査費用
・事故の再発防止策定費用
・システムの復旧作業費用
・被害者への見舞金の支払い
・コールセンターの設置費用
・弁護士・コンサルティング会社への相談費用
・工場の停止による利益損害費用
・イメージ回復に伴う広告宣伝費
・損害賠償責任に伴う費用
・損害賠償費用
・訴訟費用
製造業では上記のような補償を備えることにより、サイバー攻撃を受けた場合の事後対策が可能となります。ただし補償内容は保険会社によって異なる場合もあるため、詳しい内容を知りたい方はファーストプレイスまでお問い合わせください。
サイバー保険をもっと知りたい方は、下記ページをご覧ください。
▼サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っていまするため、ぜひお問い合わせください。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
まとめ
本記事では、製造業で発生した情報漏えい事故の事例や、備えておくべき補償について解説してきました。サイバー攻撃を完全に防ぐことはできないため、情報漏えい事故が発生した場合の事後対策を万全にしておくといいのではないでしょうか。特に製造業の場合は攻撃範囲が広いため、どれだけセキュリティ対策を施したとしても、不正アクセスを受けてしまうかもしれません。もしものときのために、サイバー保険で補償を備えておくことをおすすめします。
御社の保険料が気になる場合は、主要サイバー保険を一括見積もりできる「サイバー保険一括見積もり」をご利用ください。かんたんな入力で各保険会社へサイバー保険の見積もりが依頼できます。また、お急ぎの場合は当社までお問い合わせください。