2025年春、イギリスの小売業界が未曽有のサイバー攻撃に晒され、社会インフラの脆弱性が浮き彫りとなった。Marks & Spencer(M&S)、Co-op、Harrodsといった国内有数のブランドが相次いで標的にされ、単なるサービス障害を超えた深刻な経済的・社会的インパクトをもたらしている。これらの攻撃は技術的な脆弱性のみに依存しない「ソーシャルエンジニアリング」やAIの悪用といった新たな脅威の典型であり、英国のサイバーセキュリティ体制に大きな警鐘を鳴らしている。
Marks & Spencer:国家的ブランドを襲った精密攻撃
2025年4月21日、M&Sは広範囲にわたるサイバー攻撃を受けた。オンライン注文、クリック&コレクト、ギフトカード、非接触決済の全てが機能停止し、数千の店舗で混乱が広がった。棚は空になり、スタッフはアナログ対応を強いられ、顧客満足度も大幅に低下。さらに株価は約4.8%下落し、1日あたり380万ポンド以上の損失が発生した。
攻撃の手口とその背後
手法は極めて巧妙で、内部関係者を装ってITヘルプデスクに接触し、パスワードリセットを強要する「ソーシャルエンジニアリング」だった。内部のセキュリティ境界が突破された結果、M&Sの業務基盤そのものが侵害されたとされる。背後には、米国や欧州で活動が確認されているハッカー集団「Scattered Spider」の関与が指摘されている。
Co-op:個人情報漏洩と信頼喪失の危機
続く4月30日、Co-opも攻撃を受け、約200店舗で非接触決済が不能に。ITインフラの一部停止により、日常の買い物が滞る事態となった。加えて、現・元会員計6.2万人分の個人情報(氏名・連絡先など)の漏洩が懸念されており、データ保護法違反による罰則の可能性も浮上している。
共通する脆弱性
M&Sと同様に、ITヘルプデスクの対応プロセスを突いた「人間由来のミス」によって内部への侵入が許された。これにより、最新のセキュリティ技術があっても、人の判断ミスが全てを崩壊させるというリスクが浮き彫りとなった。
Harrods:未遂で抑えた高級百貨店の迅速対応
同時期、Harrodsにも攻撃の試みがあったが、迅速なリスク察知とインターネットアクセスの遮断など的確な初動対応により、大規模な被害は回避された。顧客情報漏洩やサービス停止といった深刻な影響は今のところ確認されていない。
この対応は、事前のインシデントレスポンス訓練やセキュリティ文化の成熟度が功を奏した好例といえる。
攻撃の構図:AI×ソーシャルエンジニアリングの新次元
従来の「技術的脆弱性」ではなく、「人間の行動」を利用するソーシャルエンジニアリングは、特に生成AIの発展により破壊力を増している。音声合成技術やディープフェイクを使えば、実在の社員の声で電話をかけることすら可能で、従業員にとっては「本物かどうか」の判断が極めて困難になる。
企業にとって、「疑ってかかる」文化の醸成と、パスワードリセットを含む全認証プロセスの厳格化は、今や生存戦略の一部といえる。
経済と信頼への打撃:一時の混乱では済まされない影響
売上損失、株価下落、訴訟リスク、そしてブランド毀損。サイバー攻撃の影響は短期的な混乱にとどまらない。特にM&Sのように「国民的ブランド」であればあるほど、攻撃のインパクトは国家経済全体に波及しうる。消費者の「信頼」は回復に時間を要し、経営戦略の再設計すら迫られる。
国家の対応と企業に求められる変革
英国の国家サイバーセキュリティセンター(NCSC)は、以下のような具体的対策を企業に呼びかけている:
- パスワードリセット手続きの二段階認証化
- 内部アクセスの監査ログの強化
- ソーシャルエンジニアリング対策を含む従業員教育の義務化
- 生成AIの悪用に備えた音声・画像認証の見直し
- BCP(事業継続計画)とIR(インシデントレスポンス)計画の整備
一方で、法律面でも対応が求められている。個人情報保護規制(GDPR)をさらに強化し、AI時代の新たな脅威に対応する法整備も急がれる。
結論:サイバーセキュリティは国家的インフラである
今回の一連の攻撃は、サイバーセキュリティがもはやIT部門だけの問題ではないことを明確に示した。小売業の混乱は、食料供給・物流・金融といった他の社会インフラに容易に波及しうる。つまり、国家の「ソフトな防衛線」としての役割を果たすには、官民を超えた包括的なアプローチが不可欠だ。
将来的には、量子コンピューティングや次世代AIがサイバー攻撃の構造を根本から変えることが予想される中、英国を含む各国は「サイバー・レジリエンス」の再構築を迫られている。
コメント