東商の高野秀夫常務理事は東京都内で記者会見し「多くの方々に迷惑、心配をかけ、深くおわびする」と謝罪した。

　サイバー攻撃の一種で、メールに添付されたファイルを開くとウイルスに感染する「標的型攻撃」とみられる。日本年金機構（東京）の年金情報が大量に外部に流出した問題もウイルスメールが原因だった。

　流出した疑いがある個人情報は氏名や住所、メールアドレスなどで、銀行の口座番号といった金融関連の情報はないという。東商の国際部が主催したセミナーの参加者名簿が主体で、一部に会員企業以外の個人も含まれる。

　東商によると、ウイルスメール１通が送られ、職員１人が開封し、この職員のパソコン１台が感染した。５月１１日にセキュリティー関連の専門機関から不審な信号を検知したと指摘を受け調査を依頼。２２日に感染が判明した。６月３日に警視庁丸の内署に相談した。

　東商は東京２３区内の中小企業が加盟する経済団体で会員数は３月末現在で約７万７０００。経営支援や政策提言などを主な業務としている。

　東商など全国５１４の商工会議所が加盟する日本商工会議所は１０日、各地の会議所に対し「不審なメールを開かない」などサイバー攻撃への対策を強化するよう呼び掛けた。日商、東商の会頭は新日鉄住金の三村明夫名誉会長が務めている。

　≪業界団体や中小企業…広がるターゲット≫

　東京商工会議所が日本年金機構と同じくメールを使ったサイバー攻撃を受け、大量の個人情報が流出した。石油連盟も同様の攻撃を受けていたことが発覚、ハッカーの標的は省庁や大企業から業界団体や中小企業に広がってきた。手口も巧妙化し、防御策は追い付いていないのが実情だ。

　大企業の「踏み台」

　「職員への教育が不足していたと言わざるを得ない」。１０日に記者会見した東商の高野秀夫常務理事は、沈痛な表情で謝罪した。

　東商の会員は主に中小企業で、情報セキュリティー対策が十分でない会社も多い。東商はサイバー攻撃の防止策などのセミナーを開き、専用窓口も設けて会員を指導してきた。それだけに、今回のウイルス感染は「恥ずかしい」（担当者）との声が漏れる。

　特定の部署や職員を狙いウイルスを忍び込ませたメールを送る「標的型メール」は、年金機構に対する攻撃と同じだ。無作為にメールを送る「ばらまき型」と異なり、受け取る側の業務に関連した表題や内容に偽装しているため、不用意に開けてしまうことが多い。

　東商では個人情報を保管するファイルにパスワードが設定されていなかったという甘さもあった。担当者は「心の準備がなかったわけじゃないが、なぜ東商なのか。相当幅広く攻撃を仕掛けているのか」と頭を抱える。

　東商や石油連盟のような業界団体は、多くの加盟企業や関係者の名簿を保有、管理している。情報セキュリティーの専門家の間では、攻撃者はそうした情報が狙いだったとの見方が出ている。

　また、攻撃対象は中小企業にも広がっている。大企業と取引がある一方で、セキュリティー対策は大企業より甘いとされ、中小を「踏み台」に大企業のシステムへの侵入を図るといわれる。

　独立行政法人の情報処理推進機構（東京）の調査によると、２０１３年度にウイルスに感染、または発見した企業の割合は約７割に上る。従業員３００人未満の企業に限っても６割弱と高水準で、企業規模にかかわらず被害は広がっている。

　中でも、情報処理推進機構に寄せられた標的型メールに関する相談件数は、１３年の９７件から１４年は５０９件と５倍以上になった。「同僚や取引先からのメールを装うなど、開封させるための文面が巧妙になっている」と情報処理推進機構は指摘する。

　官民一丸で対策を

　菅義偉（すが・よしひで）官房長官（６６）は１０日の記者会見で「（東商が）原因の分析や対処をしっかりするように、経済産業省を通じて指導していく」と述べた一方、「政府も気を引き締めて対応していく必要がある」と強調した。

　国会では連日のように年金情報流出問題の集中審議が開かれ、再発防止策を求める声も強い。しかし、厚生労働省に設置された検証委員会は８日に初会合が開かれたばかりで、調査の終了時期すら明確になっていない。

　情報セキュリティ大学院大の田中英彦教授は「コンピューターウイルスに感染することはもはや避けられない。いかに早く異常に気付き、適切な処理で実害を防ぐかが重要だ」と話す。

　攻撃を受けた企業や組織は、積極的に情報を開示すべきだとも田中氏は指摘する。「攻撃が広範囲に及び、類似の手口やウイルスが見つかることもある。サイバー攻撃対策は、官民一丸で取り組まなければならない」（ＳＡＮＫＥＩ　ＥＸＰＲＥＳＳ）