地政学的リスクに起因するサイバー攻撃とは ― 中小企業が巻き込まれないための備え
IPAの「情報セキュリティ10大脅威 2026」で、今年初めてランクインした脅威があります。7位「地政学的リスクに起因するサイバー攻撃」です。
「国家間の問題がうちのような中小企業に関係あるの?」と思うかもしれません。しかし、サプライチェーンを通じた「巻き添え型」の被害は、企業規模に関係なく発生します。この記事では、地政学的サイバーリスクの実態と、中小企業が取るべき現実的な備えを解説します。
地政学的サイバー攻撃とは
地政学的サイバー攻撃とは、国際情勢の緊張や紛争を背景に、国家またはその支援を受けた攻撃グループが実行するサイバー攻撃です。
従来のサイバー犯罪との違い
| 項目 | サイバー犯罪 | 地政学的サイバー攻撃 |
|---|---|---|
| 主体 | 犯罪組織・個人 | 国家・国家支援グループ |
| 目的 | 金銭 | 情報窃取・社会混乱・政治的影響 |
| リソース | 限定的 | 潤沢(国家予算) |
| 技術レベル | 中〜高 | 非常に高い |
| 持続期間 | 短期〜中期 | 長期(数年単位) |
| 対象選定 | 脆弱な対象を無差別に | 戦略的に選定(巻き添えもあり) |
主な攻撃グループ
セキュリティ業界で知られている国家支援型の攻撃グループには以下があります。
- APT28 / APT29(ロシア系): 政府機関、防衛産業、重要インフラを標的
- APT41 / APT10(中国系): 知的財産の窃取、半導体・製造業を標的
- Lazarus Group(北朝鮮系): 金融機関、暗号資産、サプライチェーンを標的
- MuddyWater / APT33(イラン系): エネルギー、航空宇宙産業を標的
なぜ中小企業が巻き込まれるのか
1. サプライチェーン攻撃の踏み台
国家支援型の攻撃グループが最終的に狙うのは大企業や政府機関ですが、直接攻撃すると防御が堅い。そこで、セキュリティが手薄な取引先の中小企業を経由して侵入するのが常套手段です。
典型的なシナリオ:
- 大手防衛メーカーの部品を供給する中小製造業を攻撃
- 中小企業のメールシステムを乗っ取り、大手メーカーの担当者にマルウェア付きメールを送信
- 信頼された取引先からのメールのため、受信者がファイルを開封
- 大手メーカーのネットワークに侵入
2. 破壊的攻撃の巻き添え
特定の国や産業を狙った破壊的なマルウェアが、想定を超えて拡散するケースがあります。
NotPetyaの教訓(2017年):
ウクライナの会計ソフトの更新を経由して配布されたNotPetyaは、当初ウクライナ企業を標的としていましたが、グローバル企業のネットワークを通じて世界中に拡散しました。海運大手Maerskは約3億ドルの被害を受け、ウクライナと直接取引のない企業にも甚大な影響が出ました。
3. 重要インフラ攻撃の波及
電力、通信、金融などの重要インフラが攻撃を受けると、その利用者である中小企業も業務停止を余儀なくされます。
4. ワイパー型マルウェアの脅威
地政学的攻撃では、データを暗号化して身代金を要求するランサムウェアではなく、データを完全に破壊する「ワイパー型マルウェア」が使われることがあります。身代金を払っても復旧できないため、被害がより深刻です。
2025〜2026年の注目すべき動向
重要インフラへの攻撃増加
エネルギー、通信、物流などの重要インフラを狙った攻撃が世界的に増加しています。日本でも港湾システムへのランサムウェア攻撃が発生し、物流が一時停止する事態が起きています。
サイバー空間での「グレーゾーン」活動
宣戦布告なき攻撃、帰属の曖昧な攻撃が増えています。攻撃者が自らの所属を隠蔽するため、被害企業が法執行機関に相談しても犯人の特定が困難なケースが増えています。
AIを活用した攻撃の高度化
国家支援型の攻撃グループがAIを活用して、より精巧なフィッシングメールの作成、脆弱性の自動探索、検知回避技術の開発を行っています。
日本企業への関心の高まり
半導体、先端素材、防衛技術など、日本企業が保有する技術情報への国家レベルの関心が高まっています。直接の防衛関連企業だけでなく、その部品供給元やソフトウェアベンダーも標的になり得ます。
中小企業が取るべき対策
「国家支援型の攻撃に中小企業が対抗できるのか?」という疑問は当然です。完璧に防ぐことは困難ですが、「巻き添え被害を最小限に抑える」ことは十分に可能です。
基本対策の徹底(最優先)
地政学的リスクだからといって特別な対策が必要なわけではありません。基本対策の徹底が最も効果的です。
- 多要素認証(MFA)の全社導入: アカウント乗っ取りの99%以上を防止
- 脆弱性管理: VPN機器・ファイアウォールのファームウェアを最新に保つ
- バックアップ: ワイパー型マルウェアに備え、オフラインバックアップを確保
- EDRの導入: 不審な振る舞いを検知する
- 従業員教育: 標的型メール訓練を定期的に実施
情報収集体制の構築
地政学的サイバーリスクは、国際情勢の変化に応じて急激に高まる場合があります。平時からの情報収集が重要です。
定期的に確認すべき情報源:
| 情報源 | URL | 内容 |
|---|---|---|
| JPCERT/CC | www.jpcert.or.jp | 日本向けの注意喚起、脅威情報 |
| IPA | www.ipa.go.jp | セキュリティ情報、脆弱性対策情報 |
| 内閣サイバーセキュリティセンター(NISC) | www.nisc.go.jp | 政府のサイバーセキュリティ方針 |
| 警察庁サイバー警察局 | www.npa.go.jp | サイバー犯罪の動向、注意喚起 |
「注意喚起が出たらどうする」を決めておく:
- JPCERT/CCから特定の脆弱性について注意喚起が出た場合の対応フロー
- 国際情勢の緊張が高まった際のセキュリティレベル引き上げ手順
- 業界団体や取引先から情報共有があった場合の対応手順
サプライチェーンの可視化
自社がサプライチェーンのどこに位置しているかを理解し、リスクを可視化します。
- 自社のサプライチェーン上の位置づけを把握する: 最終製品が防衛・重要インフラ関連であれば、自社も標的になり得る
- 取引先のセキュリティ状況を確認する: SCS評価制度への対応状況を確認
- 委託先管理を強化する: サプライチェーンセキュリティの管理ルールを整備
事業継続計画(BCP)への組み込み
地政学的リスクによる大規模なサイバー攻撃を想定したBCPを策定します。
想定すべきシナリオ:
- 主要クラウドサービスが国家レベルの攻撃で一時的に利用不能になった場合
- 通信インフラが攻撃を受けてインターネット接続が不安定になった場合
- 取引先が攻撃を受けてサプライチェーンが停止した場合
- 自社がワイパー型マルウェアに感染してデータが全損した場合
準備すべきこと:
- 重要データのオフラインバックアップ(クラウドバックアップだけでは不十分)
- インターネットなしで最低限の業務を継続する手順
- 代替の連絡手段(メール・Teamsが使えない場合の連絡方法)
- 紙ベースの業務マニュアル(デジタル資産にアクセスできない場合に備えて)
経営層への説明
地政学的サイバーリスクは経営リスクです。IT部門だけでなく、経営層の理解と意思決定が必要です。
説明のポイント:
- 「うちは関係ない」は通用しない — サプライチェーン経由で巻き込まれるリスクがある
- 被害額は売上の数%に達する可能性がある — NotPetyaのMaerskの被害は約3億ドル
- 対策のROIは高い — 基本対策の徹底だけで大部分のリスクを軽減できる
- 取引先からの要請 — セキュリティ対策状況の報告を求められるケースが増えている
「有事」の兆候と対応
国際情勢の緊張が高まった際、以下の兆候に注意してください。
警戒すべき兆候
- JPCERT/CCやIPAから特定の攻撃に関する緊急の注意喚起が出た
- 同業他社でサイバー攻撃の被害が報告されている
- ネットワークに不審なスキャンやプローブが増加している
- 海外からの不審なアクセスが急増している
即座に取るべきアクション
- 全システムの脆弱性パッチ適用状況を緊急確認する
- 不要なリモートアクセスを一時的に無効化する
- バックアップの完全性を確認する
- 全社員にフィッシングメールへの警戒を周知する
- インシデント対応チームの連絡体制を再確認する
まとめ
地政学的サイバーリスクは、中小企業にとっても「他人事」ではなくなっています。サプライチェーン経由の巻き添え被害、破壊的マルウェアの拡散、重要インフラ攻撃の波及など、さまざまな経路で影響を受ける可能性があります。
しかし、必要以上に恐れる必要はありません。MFA、脆弱性管理、バックアップ、EDR、従業員教育という基本対策を徹底し、JPCERT/CCなどの情報源を定期的にチェックすることで、リスクを大幅に低減できます。
自社のセキュリティ体制の見直しやBCPへのサイバーリスク組み込みでお困りの方は、情シス365の無料相談をご利用ください。