サイバーセキュリティの専門家 西尾素己氏に聞く──最新の脅威動向とSCS評価制度の向き合い方

　多くの企業がセキュリティ対策に奔走する一方で、攻撃者は新たな攻撃手法を次々と繰り出し、その在り方を塗り替えている。2025年のサイバー情勢を振り返った際、最も注目すべきはこの「手口の変容」だ。西尾氏は、昨今の状況を次のように語る。「2025年の世界のランサムウェア総攻撃件数（暗号化有無総数）は6,182件に達し、前年比で23％も増加しました。しかし、数字以上に注目すべきは、データを暗号化せずに窃取のみで恐喝を行う『暗号化なし』の攻撃が台頭している点です。実際、2025年にはこのタイプが1,445件も発生しています。暗号化しないという選択肢が急増している背景にあるのは、皮肉にもセキュリティ製品の進化です。アンチウイルスの検知率の向上により、攻撃者にとって暗号化というプロセスは、自らの存在を露呈させるリスクの高い行為になりました。これを回避するため、データ暗号化を伴わない攻撃手法が増えているのです」

　さまざまな攻撃手法が存在する中で、今注意すべきなのが「インフォスティーラー」だ。これは個人情報や認証情報を盗むことに特化したマルウェアで、感染したデバイスのブラウザー内に保存されたCookieやID、パスワードなどの認証情報のほか、フォームの自動入力情報などあらゆる情報を根こそぎ奪い去る。窃取された情報はダークウェブなどを通じて攻撃者の手に渡り、ターゲット企業のみならず、取引先を含めたサプライチェーン全体への侵入口として悪用され、社会的信用の失墜や巨額の賠償リスクを招く引き金にもなっている。

「インフォスティーラーの挙動は、ごく一般的なアプリケーションの挙動と見分けがつかず、既存のセキュリティ製品による検知網を容易にすり抜けてしまいます。そのため、管理者やユーザーは感染に気付かないまま、重要な認証情報が外部へと流出してしまうのです。こうした検知しづらい攻撃が広がる中で、数万台規模のサプライチェーンにおいて、末端の端末まで完全に守り切ることは、現実的には極めて困難です。もはや『侵入を阻止する』という従来の考え方だけでは限界があり、最初からIDが漏えいする可能性を前提に、多要素認証（MFA）の徹底や、内部での異常な挙動を早期に察知する監視体制の整備が不可欠です。それが、現代の企業が備えるべき“最低限の防御姿勢”といえるでしょう」と西尾氏は話す。

　攻撃者が狙うのは、情報の窃取だけではない。OSの再インストールすら無効化し、企業の復旧プロセスそのものを揺るがす、より根深い攻撃手法が広がっている。その代表例が、「BYOVD」（Bring Your Own Vulnerable Driver）だ。「攻撃者はシステム管理者権限を得た後、意図的に脆弱性を抱えたドライバーをインストールします。そこを足掛かりに、OSよりも深い階層であるBIOSやUEFI、さらにはファームウェアへとマルウェアを常駐させるのです。こうなると、OSを入れ替えても、ストレージを初期化しても、再起動のたびにマルウェアが復活します。物理的な基盤そのものが汚染されているため、従来の復旧手順では対処できません」と西尾氏は指摘する。

　こうした手法が用いられた場合、復旧作業は長期化し、企業は極めて厳しい対応を迫られる。西尾氏は、その構造的な難しさを次のように説明する。「バックアップデータが無事であっても、それを戻す先の物理的なサーバー筐体が本当に安全であるかを証明しなければなりません。ハードウェアの深層に何かが潜んでいないかを確認するには、膨大な時間と高度な専門知識が必要です。これは、いわば“悪魔の証明”を求められているようなものです」

　このような高度な攻撃に対抗するため、西尾氏はハードウェアレベルでのセキュリティ対策の重要性を強調する。「特にPCの更新を検討している企業は、OS起動前の整合性をハードウェアレベルで検証できる、ビジネス向けの高度な管理プラットフォームを備えた端末を選ぶべきです。中小企業においては、IT担当者が不足しているからこそ、こうした“ハードウェアが自律的に守ってくれる仕組み”への投資が、最も費用対効果の高い選択になります。数千円から数万円の差額を惜しんだ結果、数億円規模の損害や事業継続の危機に直面するのは、経営判断として合理的ではありません。これまでは、『データのバックアップさえあれば安心』という風潮もありましたが、可用性の追求だけでは現代の脅威には対応しきれません。これからは、いかに“侵入されない期間”を長く保つかという視点が不可欠です」

　もはやセキュリティは、自社のデータを守るためだけの「努力目標」ではない。一端末の不備がサプライチェーン全体の連鎖停止を招きかねない現代において、適切な対策を講じていることは、ビジネスを共にするパートナーへの責任そのものだ。

　こうした組織としての責任を明確に評価し、信頼性を担保する仕組みとして、経済産業省が推進しているのが「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」である。これは企業のセキュリティ対策状況を第三者が評価し、その実態を可視化するものである。西尾氏はSCS評価制度への対応が、ビジネスの現場で取引を継続するための必須条件になるとみている。

「SCS評価制度への準拠は、単なる形式的な事務作業ではありません。万が一インシデントが発生した際、企業が『社会的に求められる適切な努力をしていたか』を客観的に証明する、善管注意義務の観点から非常に強力な盾となります。逆に言えば、この制度を無視したまま被害を出した場合、取引先から『なぜ最低限の評価すら得ていなかったのか』と、経営責任を厳しく問われる時代になるのです」（西尾氏）

　実際、セキュリティの不備が原因で取引先から契約を解除され、事実上の事業停止に追い込まれた企業の例も報告されている。いかなる企業も単独でビジネスを完結させることはできず、必ずパートナーとなる取引先が存在する。一度の情報漏えいは、その信頼の連鎖を瞬時に断ち切ってしまうのだ。

「日本のIT予算は、諸外国に比べて規模が限定的であり、特に中小企業においては、日々の運用を維持するだけで精一杯という状況が少なくありません。多くの経営者は、実際に被害が発生してからでなければ予算を動かさないのが実態です。しかし、現代の高度化したサイバー攻撃は、わずかなセキュリティの隙を狙い、企業活動の停止や信頼喪失に直結する致命傷を与えます。火が付いてから消火器を探すのでは遅すぎるのです。2026年以降、このSCS評価制度が取引の条件や、サプライチェーンにとどまるための前提条件となる動きは加速するでしょう」（西尾氏）

　自社の現状を客観的に把握し、SCS評価制度のような枠組みを対外的な信頼を担保する「ブランドの証」として戦略的に活用すること。それこそが、将来にわたるビジネスの継続性を保証し、企業の持続可能性を確かなものにするための「投資」にほかならない。

　セキュリティを経営の中核に据え、一刻の猶予も許されない「待ったなし」の情勢を生き抜くこと。その決断こそが、企業を新たな成長へと導く唯一の道となるだろう。