企業がホームページ運営などに使うサーバーや基幹パソコンを調べたところ、サイバー攻撃の恐れのある古いソフトが世界の機器の5割で放置されていることが分かった。日本は米マイクロソフトの基本ソフト「ウィンドウズ」搭載機器の3割で脆弱性が見つかった。サイバー攻撃で情報が漏洩すると企業は4月施行の改正個人情報保護法で報告を求められる。海外で罰金を科される恐れもあり対策が急務だ。

ITソフトを手掛ける米タニウムの協力を得て検索システム「SHODAN」の公開情報を使い、2021年12月に調査した。

対象はインターネットに接続し、マイクロソフトの「ウィンドウズ」とApache（アパッチ）ソフトウエア財団のウェブサーバーソフト「Apache」を使ってホームページなどを運営する世界のサーバー・パソコン約2577万台。

サイバー攻撃を受ける恐れのあるソフトの深刻な脆弱性12項目について調べた。ホームページなどを運営していない個人のパソコンは含まない。

12項目の脆弱性のうち1項目以上でソフトを最新状態に更新せず放置しているサーバー・パソコンは、世界で1268万台と調査対象の5割を占めた。所在国別にみると、米国が351万台と首位だった。日本は約88万台とドイツ（93万台）に次いで3位だった。

米国の台数が多いのは調査対象となった機器が多いためだ。各国の機器総数に対する脆弱性の見つかった比率をみると、日本は45%と米国（43%）やドイツ（42%）を上回る。

日本はウィンドウズを搭載するサーバー・パソコンで脆弱性の放置割合が高い。

ウィンドウズで脆弱性が見つかったのは世界で約5万6300台ある。全体に占める割合は少ないが、ウィンドウズは他のソフトよりも企業全体を動かす重要なシステムに使われている比率が高く、サイバー攻撃された場合の深刻度が大きい。

各国のウィンドウズの所有機器数に対する脆弱性比率でも日本は30%と最多だった。主に中小企業でバグや重大な欠陥が放置されているとみられる。

危険性が高いものの一つが、ウィンドウズの通信機能「SMBv3」の脆弱性だ。身代金（ランサム）要求ウエア「WannaCry（ワナクライ）」などの不正ソフトの足がかりとなる。ワナクライは17年に大流行し、日立製作所やJR東日本が被害を受けた。

日本で脆弱性が見つかったのは約7300台と世界全体の30%を占め、台湾、ロシア、米国を上回り首位だった。

マイクロソフトなどはこうした脆弱性を修正するソフトを配布し更新するよう呼びかけている。だが人材不足や予算不足などを背景に、放置されている例が多い。日本マイクロソフトは「システムを確認したうえで、速やかに修正プログラムを適用してほしい」としている。

サイバー攻撃は急増している。米調査会社サイバーセキュリティ・ベンチャーズによると、ランサムウエアによる世界の被害額は21年に約200億ドル（約2兆2600億円）と15年の約60倍に増え、31年には2650億ドル（約30兆円）に達すると予測する。

最近ではホームページやネットサービス運営のログ管理などに使われる「Apache Log4j（アパッチ　ログフォージェイ）」と呼ばれる機能で重大な欠陥が見つかり、問題となった。

サイバー攻撃を受けて情報が漏洩した際の経営リスクは大きくなっている。米マリオット・インターナショナルや英ブリティッシュ・エアウェイズなどは欧州の一般データ保護規則（GDPR）で100億円を超える制裁金（後に減額）を科された。

日本でも4月施行の改正個人情報保護法で報告義務が課される。企業も取引先の情報管理を重視するようになっており、漏洩すれば取引を打ち切られる恐れがある。

企業のサイバーセキュリティー対策は遅れている。IDCジャパンによると、日本企業の約56%がIT投資でセキュリティー対策予算を設定していない。

あるエネルギー関連企業のセキュリティー担当者は「経営者から重視されず、予算が限られている」と話す。

日本プルーフポイントの増田幸美氏は「ハッカーの攻撃では超高度な手法よりも古典的な手法が根強く使われている」と指摘する。偽メールからウイルスをダウンロードさせたり、古いソフトのバグを狙ったりすることが多い。

米調査会社ポネモン・インスティテュートによると、サイバー攻撃の予防措置をとることで、実際に被害が出たときよりもコストを85%減らせるという。

（日本経済新聞）