サイバーセキュリティ統計

最近の統計は、シンガポールのサイバーセキュリティ状況、特に中小企業 (SMB) にとって憂慮すべき状況を示しています。組織がデジタル資産、リスク、新たな脅威を監視するのに役立つサイバーセキュリティおよび脅威インテリジェンス プラットフォームの 「SOCRadar」 などの複数の情報源から重要な数字をいくつか紹介します。デジタル先進国のシンガポールでもこの問題の深刻さと無縁でいられないことがわかります。

ランサムウェアへの対応

シンガポールを積極的に狙う脅威アクターの上位3位は、Akira、LockBit 3.0、Black Bastaです。これらの脅威アクターはそれぞれ異なる手法を使って攻撃を仕掛けます。

ランサムウェア攻撃の業界別分布

出典： Singapore Threat Landscape Report - 2025

業界別にみると、製造業(31.58%)、卸売業(12.87%)、次に不動産業(11.11%)が多く攻撃されています。

また、アジア太平洋地域の中小企業の10社のうち、9社はサイバー攻撃を受けた場合には「身代金を払う」ことを検討する回答しており、特にシンガポールでは、中小企業の88%が、ランサムウェアによるインシデントが発生した場合に、データを回復するためにお金を払うと回答しました。

ビジネスメール詐欺(BEC)

ビジネスメール詐欺は、人事担当者や財務スタッフ、役員など、特に企業の財務や機密データにアクセスできる社員を標的としたサイバー攻撃手法です。攻撃者は、企業の電子メールシステムの信頼性の高さを悪用して、CEOなどの信頼できる個人になりすまし被害者を操ることで不正な取引に誘導し、金銭や機密情報を盗み出します。

シンガポールの企業はBECへの対応に苦慮しており、メールの34%が資金や機密情報を盗むことを目的とした詐欺メールであると言われています。

サイバー攻撃の急増

Kaspersky Security Network (KSN) によると、シンガポールでは2024年に21,926,752件のサイバー攻撃が発生しており、これは2022年の11,123,456件と比較するとおよそ2倍で、さらに2023年の17,010,939件からも大幅に増加しています。

これらの統計は、大企業ですら人的リソース不足に直面している中、特に中小企業にも積極的なサイバーセキュリティ戦略が緊急に必要であることを強調しています。次のセクションでは、シンガポールにおけるサイバー攻撃を調査し、これらの数字が単なる抽象的な数字ではなく、深刻な結果をもたらす具体的な侵害であることを明らかにします。

サイバーセキュリティ事例

シンガポールは毎年数多くのサイバー攻撃に直面しており、その程度はさまざまですが、ここではケーススタディとして、より深刻な3つのインシデント事例をご紹介します。

2018年 SingHealthのデータ侵害

シンガポール最大の医療機関グループであるSingHealthは、40以上の臨床専門分野にまたがる病院、専門センター、総合診療所などの広範なネットワークを通じて、これまで数百万人の患者にサービスを提供してきました。SingHealthがもつ診療内容を含む膨大な個人情報は、サイバー犯罪者の標的になりました。

2018年7月にSingHealthのITチームがデータベースの1つで異常なアクティビティを特定した際にデータ侵害が発覚し、調査の結果サイバー攻撃によるものだと確認されました。この侵害により、当時のリー・シェンロン首相などの著名人を含む150万人の患者の個人データが侵害されました。

盗まれたデータには、氏名、国民登録身分証明書 (NRIC) 番号、住所、性別、人種、生年月日が含まれており、さらに16万人の患者の外来処方記録も流出し、調剤された薬の詳細が明らかになりました。注目すべきは、リー・シェンロン氏の処方箋の記録が攻撃者によって特に標的にされたことです。機密性の高い医療情報にアクセスされましたが、幸いにも診断書、検査結果、医師の観察記録は侵害されることなく、その点が唯一の救いでした。

SingHealth は患者とのエンゲージメントプロセスを簡素化するために、2012年にHealth Buddyというモバイルアプリをリリース。アプリ上で施設予約やスケジュール変更ができるようになり、利便性向上のためにITを積極的に利活用するSingHealthの企業姿勢は高く評価を受けていました。しかし、このインシデントを機に、改めてシステムのセキュリティ強化の重要性を再認識することになりました。

2021年 シンガポール国立大学協会(NUSS)へのハッキング

2021年10月、シンガポール国立大学協会(NUSS)は、サードパーティのウェブサービス上にホスティングしていた同協会のウェブサイトに侵入されました。これによりウェブサイト上にオンラインフォーム機能を公開した当初からのデータを含む、1,355人のNUSSメンバーの個人データが侵害されました。

公開されたデータには、名前、NRIC番号、連絡先情報が含まれていました。協会は侵入があったことが判明してすぐに当局と関係者に通知するとともに、サイバーセキュリティの専門家と協力して侵害の詳細を調査しセキュリティ体制を強化しています。

2024年 Shook Lin & Bok LLPへのサイバー攻撃

シンガポールの有名な法律事務所であるShook Lin & Bokは、金融、建設などの分野でサービスを提供しています。2024年4月にサイバー攻撃を受け、すぐに対策チームと連携し5月には攻撃を受けたことを対外的に発表しました。

Shook Lin & Bokは、顧客やステークホルダーへの被害を最小限に抑えるためにサイバーセキュリティチームやその他の専門家と連携しただけでなく、盗まれたデータがオンラインで公開されるのを防ぐために、合計21.07ビットコイン(140万米ドル（2億300万円）相当)をランサムウェアグループに3回に分けて支払ったと報告されています。

シンガポール政府の動き

世界有数のテクノロジーハブの1つであるシンガポールには、ローカル企業と外資系企業がひしめきあっています。すべての人に安全なデジタル環境を確保するために、政府は国家のサイバーセキュリティとデータ保護の強化を目的として複数の法律を施行しています。

2018年 サイバーセキュリティ法（CSA）

(2024年5月改定)この法律は、シンガポールのデジタルインフラを保護するための法的基盤を提供します。主な目的には、重要な情報インフラ(CII) の保護、サイバーセキュリティ庁 (CSA) の権限付与、サイバー脅威インテリジェンス共有の促進、主要なサイバーセキュリティサービスプロバイダーへのライセンス供与が含まれます。

2024年の法改正により、CSAの監視範囲が拡大されSystems of Temporary Cybersecurity Concern (STCC)、Entities of Special Cybersecurity Interest (ESCI)、クラウドやデータセンタープロバイダーなどのFoundational Digital Infrastructure (FDI) が含まれるようになりました。

また、仮想システムを含むように定義を最新化し、特にサプライチェーン関連の侵害に対するインシデント報告を強化しました。

2012年 個人データ保護法(PDPA)

この法律は、民間組織による個人データの収集、使用、および開示に関する事項をカバーします。個人のプライバシー権とビジネスニーズのバランスを取り、個人が一方的なマーケティングコミュニケーションをオプトアウトできる電話拒否(DNC)が含まれています。さらに、2020年の改正では、データ侵害の通知とデータポータビリティという2つの新しい義務が導入されました。

1993年コンピュータ不正使用法 (CMA)

1993年に「コンピュータ不正使用防止法（CMA： Computer Misuse Act）」として制定され、2013年に「コンピュータ不正使用防止・サイバーセキュリティ法（CMCA：Computer Misuse and Cybersecurity Act）」に改正されたこの法律は、コンピュータ犯罪を取り締まる事を目的として、コンピュータシステムへの不正アクセス、改ざん、または不正利用を犯罪と定義しています。ハッキングやフィッシングからマルウェアに至るまで、幅広いサイバー犯罪をカバーしており、シンガポールのサイバー犯罪取り締まりの基礎となっています。

将来を見据えた対外的な取り組み

サイバー脅威が進化し続ける中、シンガポールは規制だけでなく、強固なパートナーシップや将来を見据えた取り組みにも投資しています。CSAのSG Cyber Safeプログラムや世界的IT関連企業との提携をはじめ、政府、大学・研究機関、産業界との協力は、サイバーハイジーンの強化を目指す国家の取り組みを反映しています。また、ASEANのサイバーセキュリティイニシアティブや英国との二国間協力のパートナーシップなど、国境を越えたサイバーレジリエンスに向けて戦略的にアプローチを続けています。

同時に、サイバーセキュリティトレーニングや奨学金プログラムなど、スキル開発への継続的な投資は、優秀な人材プールを育成しながら、デジタルインフラの将来性を確保するというシンガポールの意図を示しています。

高度なサイバー脅威にお困りならIIJに一度ご相談ください！

シンガポールが世界的なテクノロジーハブとして台頭することは、多くチャンスとそれに伴う責任をもたらします。法律、脅威認識、戦略的パートナーシップを織り交ぜることで、この国は急速に変化するデジタル環境におけるサイバーレジリエンスのモデルとしての地位を確立しています。

IIJは、シンガポールのデジタル社会の安全・安心の確保に取り組んでいます。高度な脅威検出、安全なクラウド インフラストラクチャ、専門家によるコンサルティングを提供し、組織が潜在的なサイバー攻撃を常に認識し、企業側が先手を打つことができるよう様々な支援をします。

IIJは、お客様のサイバーセキュリティパートナーです。

【公式】IIJ Global Solutions Singapore