【セミナーレポート】セキュリティって何から始めるべき？UTMで担保する最低限のセキュリティと“その先”

サイバーセキュリティラボでは、中堅・中小企業向けに、サイバーセキュリティに関する情報発信の場としてセミナーを不定期開催しています。

2026年3月12日（木）には東京大学先端科学技術研究センター客員研究員の西尾氏を講師に招き、サプライチェーンを狙うInfoStealer攻撃について掘り下げ、従来のセキュリティ対策で対応できる範囲とAIの進化や高度な攻撃手法によって生じている新たな脅威を整理しました。後半では、サイバーセキュリティラボを運営するUSEN ICT Solutionsより、手軽に導入が可能なUTMサービス「SG-ONE」を紹介いたしました。

本記事では、セミナーの内容を一部抜粋してお届けします。アーカイブ配信も行っておりますので、あわせてご確認ください。

^{※本記事の内容は、セミナー開催時点の情報です。
※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

サプライチェーンセキュリティと言われて久しくなりましたが、サプライチェーン攻撃の歴史を語る上で欠かせないのが「J-31事件」です。この事件は2008年から2009年にかけて発生した、米国戦闘機F-35の設計図面が中国に流出し、F-35と性能が酷似した戦闘機J-31が中国から発表されたという事件です。

当時の米国政府が調査した結果、情報が漏れていたのは巨大企業だけでなくその末端にあるいわゆる「パパママ経営」のような小さなサプライヤーが多く存在していました。自分たちが何を作っているかもわからないような会社の情報が漏れ、最終的にパズルを合わせるようにして戦闘機の設計図が完成してしまったという訳です。

現在この脅威は、InfoStealerというマルウェアを介して、あらゆる企業の認証情報へとターゲットを広げています。

InfoStealerとは、ブラウザに保存されたパスワード、フォーム入力情報、Cookieなど、様々な情報を盗み出すマルウェアです。InfoStealerの動作は「ブラウザに入力された情報を特定のサーバに送る」という極めて単純なもので、これをウイルスとして検知してしまうと、多くの正規アプリが動かなくなるため、アンチウイルスソフトやEDRであっても、見逃してしまうリスクが非常に高いのです。

加えて、InfoStealerは一度感染すると4～5年間、PCに潜伏していると考えられています。感染したPCで入力をしている限り、パスワードを2,000桁にしても、毎日変えてもリアルタイムで攻撃者に送信され続けてしまうのです。

ここからは、InfoStealerの具体的事例を紹介していきます。

イギリスの自動車メーカーが、2025年9月から10月にかけて1ヶ月間生産停止に追い込まれました。この事件の引き金は、2021年に業務委託先の従業員のPCが LummaStealer というInfoStealerに感染したことでした。そこから開発者用システム「Jira」の認証情報が盗まれ、4年後の2025年にランサムウェアグループ HELLCAT がその情報を入手。システムをロックした結果、1ヶ月以上ラインが停止し総額4,000億円もの損失が発生しました。

国内でも同様の事象が発生しています。国内事務用品大手が2025年10月にランサムウェア攻撃を受け、物流システムが完全に停止しました。このランサムウェア感染の発端も、業務委託先のPCがInfoStealer感染による認証情報の漏えいでした。攻撃者は窃取したID・パスワードを利用して、VPN経由で社内ネットワークに侵入し、EDRなどのウイルス対策ソフトを無効化した上でランサムウェアを拡散したとされています。被害に遭った企業はEC運営だけでなく、他社の物流も受託するサプライチェーンのハブとしての機能をもっていたため、多くの取引先企業へと連鎖し、最終的に売上高約95%減という大損害を被りました。

このようなインシデントが発生した場合、大企業側は、自社のレピュテーションリスクや下請法への抵触を懸念し、サプライヤーに対して直接的な訴訟などに踏み切ることは稀です。その代わり、インシデントをきっかけとした取引中止や取引価格の減額要求を行うことは往々にしてありえます。

実際に、ある企業の個人情報を流出させた委託先企業が、取引解消のレッテルを貼られたことで連鎖的に他社からも取引を切られ、破産に至った事例がありました。

InfoStealerやランサムウェアは、システム内に存在する正規の機能やツールを悪用して攻撃を行うLOTL（Living Off The Land）や認証画面を装いユーザーに自らコマンドを打ち込ませるClickFixといった巧妙な手口により感染します。これらの攻撃は、セキュリティ対策の防御や検知をかいくぐるため100%防ぐことは難しいです。

そこで重要になるのが「善管注意義務」の概念です。善管注意義務とは、法曹界の用語で、客観的・標準的に期待されるレベルの注意を払う義務のことです。サイバーセキュリティの領域において、経済産業省が発表している「SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）」が、この義務を果たしているかどうかの「客観的な物差し」となります。

これまで企業は自社独自の基準でセキュリティ対策を行ってきましたが、独自基準であるがゆえに、いざインシデントが発生した際、その対策が「十分だったのか」を客観的に判断することは極めて困難でした。取引先に対しても、自社の正当性を証明する明確な手段がなかったのです。しかしSCS評価制度の導入により、国が定めた明確な基準に基づき、例えば★3を取得していれば、それが「標準的に期待されるレベルの対策を講じていた」という公的な証明になります。

では中小企業が、現実的なコストで★の取得要件を満たしつつ、実効性のある防御を固めるには、具体的にどのような対策から着手すべきなのでしょうか。その対策の一つが、ネットワークの入り口を固める「UTM」です。

サイバーセキュリティラボを運営するUSEN ICT Solutionsでは、SCS評価制度★3の取得要件あるUTMサービス「SG-ONE」を提供しています。UTMだけですべての攻撃を防ぐことはできませんが、初期侵入段階の大量の攻撃を効率よく防ぐことができ、対策の第一歩となります。

SG-ONEは、コンパクトな筐体にアンチウイルス、ファイアウォールをはじめ、複数のセキュリティ機能を有し、不正アクセスを防ぐUTMサービスです。InfoStealerの感染経路でもある、不正なメールや不正なWebページに対しても有効的です。無料トライアルも実施中ですので、お気軽にお問い合わせください。