News

Categories

最新ニュース
税務
法務
会計/ビザ
デイリーニュース
JAC'sブログ
その他

アーカイブ

If you have any requests for content from before 2024, please inform us via ‘Contact Us.’ We can send you the documents accordingly.

第12回  JAC’Sブログ
海外子会社のサイバーリスク

2025. 07. 30 | JAC'sブログ

作成者:渡邊 陸斗

先日、日本の警視庁が世界で初めて、ランサムウェアによって暗号化されたデータを復号するためのツールを開発しました。このツールは関東管区警察局サイバー特別捜査部が米国連邦捜査局(FBI)の協力を得て開発したものであり、しかも誰でも無料で利用できるという点で、世界に大きな衝撃を与えました。
(参考:ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について|警察庁Webサイト

最近では、KADOKAWAが受けたランサムウェア事件により、多くの方がサイバー攻撃の脅威を身近に感じたのではないでしょうか。

ランサムウェアとは、簡単に言えばコンピューターウイルスの一種で、企業のPCが感染するとファイルが勝手に暗号化され、システムの使用ができなくなったり、データにアクセスできなくなったりします。攻撃者はその暗号化を解除する見返りとして、金銭などを要求してきます。特に企業はその標的となりやすい傾向にあります。

サイバーセキュリティ会社であるチェック・ポイント・ソフトウェア・テクノロジーズのレポートによると、2025年第1四半期におけるランサムウェア攻撃は、前年比で126%も増加しています。AIの発展により、専門的な知識がなくても悪質なウイルスを作成できる環境が整ってきていることも背景にあります。

IT関連の犯罪は国境を越えて行われ、距離の制約を受けず、複数のサーバーを経由することで、企業に深刻な損害を与えることができます。こうした点が、サイバーリスクの脅威をより深刻なものにしています。

今回は、前回より一歩踏み込んで、インドネシアにおけるサイバーセキュリティの現状と対策についてお話ししたいと思います。

2024年以降、インドネシアではランサムウェアによる被害が急増しています。

たとえば2024年12月には、日本の大手電機メーカーのインドネシア子会社がランサムウェア攻撃を受け、取引先企業名、担当者名、従業員の情報などが流出した可能性があると発表しました。また、同年6月24日にはインドネシア国家データセンターが攻撃され、空港での入国審査をはじめとした複数の政府サービスに障害が生じました。

このように、被害は企業だけでなく国家機関にも及んでおり、犯人の特定や逮捕が非常に困難であるのが現実です。

さらに、サイバー犯罪の厄介な点として、たとえ自社で万全のセキュリティ対策を講じていても、取引先や関係会社が対策を怠れば、情報漏洩のリスクは依然として存在し続けます。

特に海外子会社は、本社との物理的距離により管理が行き届きにくく、初動対応の遅れやシステム統制の難しさから、攻撃者にとっては“狙いやすい標的”となり得ます。本社のシステムへ侵入するための“踏み台”として利用される危険性もあるのです。

インドネシアでは若年層が人口の大部分を占め、インターネットと共に育った世代が中心となっています。そのため、インターネットの危険性に対する感覚が薄くなっている傾向があります。

前回もお話ししたように、チャット文化が広く浸透しており、政府機関、企業、店舗間のやり取りにもWhatsAppなどのチャットアプリが頻繁に使用され、重要なデータのやり取りさえも行われているのが現状です。

日本と比べて、どこから情報が漏れるか分からない環境であり、インターネット上のプライバシー保護が極めて不十分である点は大きな課題です。

では、こうした状況の中で、どのようにサイバーセキュリティを強化していけば良いのでしょうか?中には、「ITシステムは日本本社またはローカルのIT部門に任せているため詳しく把握していない」「PCは各社員の自己管理にしている」といった企業様もいらっしゃるかと思います。

そこで、社内で今すぐ実行できるセキュリティ対策を2点ご紹介します。

1. ソフトウェア・システムを常に最新の状態に保つ
Windowsや各種業務ソフトウェアは、定期的にアップデートが実施されており、その内容には新機能の追加だけでなく、セキュリティホール(脆弱性)と呼ばれるシステム上の欠陥を修正する重要な更新も含まれています。

このセキュリティホールは、技術的な手法を用いれば、比較的容易に管理者権限を奪取される危険性があり、攻撃者はそこから「バックドア(裏口)」と呼ばれる侵入経路を密かに設置したり、悪意のあるウイルスをダウンロードさせたりすることが可能となってしまいます。

こうしたアップデートを怠ると、脆弱性が修正されないまま放置され、攻撃者にとってシステムへの“侵入口”として利用されるリスクが高まります。

したがって、社内すべてのPCが常に最新バージョンであることを確認し、1台でも古いバージョンの端末が残らないよう徹底することが、組織の情報資産を守るうえで極めて重要です。

2. アプリインストールの権限を制限する
社員が自由にアプリをインストールできる環境では、WhatsAppなどのチャットアプリを業務用PCに勝手に入れ、機密データの送受信に使ってしまうリスクがあります。
さらに、見かけはアプリでも、実際にはマルウェア(悪意のあるソフトウェア)であるケースもあり、社内ネットワーク全体に感染が広がる恐れもあります。
アプリのインストールにはパスワード制限を設け、IT部門や管理者のみが許可できるようにしておくことを強く推奨します。

ハッキングの手口は、空き巣に非常によく似ています。常に隙を探し、どこからでも侵入を試みてきます。しっかりと戸締まりをする――つまり、アップデートの徹底やアプリの管理を厳格にすることこそが、最も効果的な防御手段となります。