「中国系という点では同じですが、違うグループです。目的も背景の指揮命令系統も異なります。NECの主張通り、不正アクセスはあったものの情報の抜き取りは防げたとみられます」

 しかし、一連の事件で明るみに出た企業に限らず技術力の高いメーカーが、常にサイバー攻撃を受けるリスクがあるのは、半ば常識だ。

 日立製作所は17年5月、身代金要求型ランサムウェア「WannaCry(ワナクライ)」の攻撃を受け、日立グループ内の一部のメール機能や家電の受発注システムなどに障害が発生するなど深刻な感染被害があった。これを受けて同社では同年10月、最高情報セキュリティー責任者のCISO(Chief Information Security Officer)と情報セキュリティリスク統括本部を設置。監視対象機器・システムの拡大や有事の際の手順書を再整備し、各監視対象拠点のシステムとネットワーク機器のログの集約と相関分析も行った。同社はワナクライ被害の教訓から「サイバー攻撃を100%防ぐことは不可能」という前提に立ち、全社で定期的に訓練を実施し、組織の強化に努めているという。

 同社広報担当は本誌の取材に対し、こう答えた。

「3年前の被害ではメールが使えなくなり、使い方を忘れるほど久しぶりだったファクスが役に立ちました。ワナクライ以降も監視で、日々さまざまなサイバー攻撃を受けていることを把握していますが、都度適切な対応を実施しており、大きな被害は発生していません」

 サイバー攻撃に関しては、政府が00年に内閣官房情報セキュリティ対策推進室を設置して対策を始めた。その後11年に三菱重工業、IHI、川崎重工業などの防衛産業関連企業が相次いでサイバー攻撃を受けていたことが発覚、世間を震撼させた。

 IHIはサイバー攻撃を受けた経験や対処法について、本誌の取材にこう回答した。

「10年4月から標的型攻撃メールを検知していますが、情報は流出していません。攻撃者に対して当社の手の内を開示することになるため、具体的な対策は差し控えますが、最新セキュリティーツールの導入や従業員に対する教育を実施するとともに、政府機関や専門セキュリティー会社と連携しながら諸対策を講じています」

次のページ