「あなたの会社のサイバー攻撃対策は万全ですか？」と問われたら、何と答えますか？　どれだけの企業が「万全です」と胸を張って言えるでしょうか？　なかには「特別なセキュリティ対策は講じていない」「うちみたいな会社が狙われるわけがない」と答える企業があるかもしれません。

しかし、サイバー攻撃に例外はありません。攻撃者の魔の手は映画やドラマ、ニュースのなかだけではなく、あなたの会社のすぐそばまで忍び寄ってきているのです。

最近のサイバー攻撃の動向

手を変え品を変えてセキュリティの隙を突いてくるサイバー攻撃。最近はどのようなタイプが猛威を振るっているのでしょうか。経済産業省所管のIPA（独立行政法人情報処理推機構）が公表した「情報セキュリティ10大脅威 2017」によると、組織に対する社会的影響の大きいセキュリティ上の脅威上位は以下のようになっています。

1位　標的型攻撃による情報流出

企業や官公庁など、特定の組織をターゲットにした攻撃です。ターゲットに巧妙な偽メールを送りつけたりしてウイルスに感染させ、個人情報や業務上の機密事項を奪います。

ケース1　大手旅行会社から顧客の情報793万件が流出

2016年、大手旅行会社のオンラインサービスに登録されていた個人情報793万件が、不正アクセスによって流失しました。この発端は実在する航空会社を装って送りつけられた偽メールを開封してしまったこと。偽メールのアドレスのドメインは実在する航空会社のもので、実際の部署と担当者名の署名まで付いていたという巧妙なものでした。

2位　ランサムウェアによる被害

「ランサム」とは「身代金」のこと。攻撃者がPCなどのファイルを暗号化したり画面をロックさせたりして、復旧させることと引き換えに金銭を要求するもので、身代金要求不正プログラムなどともいわれます。もともとは海外で発生・流行していましたが、最近では日本でも確認されるようになりました。

ケース2　2017年には「WannaCry」が世界的に流行

2017年に入って世界的に大流行したのは「WannaCry」と呼ばれるランサムウェアです。「WannaCry」とは「I wanna cry」、つまり「泣きたくなる」という意味だといわれています。なんともシニカルですね。「WannaCry」は世界で同時多発的に起こり、世界150カ国、30万件以上の被害が出たそうです。日本でも大手鉄道会社や電気機器メーカーでランサムウェアの感染が確認されています。

3位　ウェブサービスからの個人情報の窃取

ウェブサービスの脆弱性を悪用し、住所や氏名、クレジットカード情報などの個人情報が窃取されるものです。

ケース3　大手メディアで個人情報流出

大手メディアのモバイルサイトで利用しているソフトウェアが不正アクセスを受け、最大で43万件におよぶ個人情報が漏えいしました。

中小企業も例外ではない！大企業攻撃の踏台にされる中小企業

ニュースで上記のような事件が報道されても、中小企業では「サイバー攻撃の対象は大企業だけで、うちみたいな小さい会社に限ってサイバー攻撃はありえない」と思われがちです。

しかしながら、IPAの「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によると、会社の規模が小さいほど、セキュリティ対策が不十分という結果が出ていることから、サイバー攻撃のリスクは高いといえます。

例えば半数以上の中小企業で、スマホやタブレットの業務利用が認められていますが、パスワード設定している割合は小規模企業で56.7％、100人以下の中小企業で67.9％、101人以上だと72.5％という結果に。規模が小さい企業ほど、パスワードが設定されていないことが明らかになっています。しかし、このような隙を突いて、サイバー攻撃が仕掛けられ、以下のような事例が発生しているのです。

ケース4　狙われた従業員10人の企業

A社は従業員数10人の健康食品販売会社。運営するショッピングサイトにおいて約1カ月間、顧客の氏名や住所、クレジットカード情報が流出するという事件が起こりました。原因は外部サーバーに不正プログラムが仕掛けられたことと考えられています。ショッピングサイトは約1カ月の間2,000人近くの顧客が利用したとされていましたが、サイトは今も閉鎖されたままで再開のめどは立っていません。

また、このケースのように直接攻撃を仕掛ける以外に、中小企業を踏み台にして大企業を攻撃するタイプも増えつつあります。具体的には、攻撃者の大本命が大企業だとして、大企業は往々にしてセキュリティ対策が万全でガードが堅いことから、手始めにガードが甘い大企業の関連子会社や取引先の中小企業に遠隔操作ウイルスなどを感染させるのです。そして、大企業との取引内容や担当者名などの情報を入手し、それを基に巧妙な偽メールを作って、大企業のネットワークに侵入するのです。

ケース5　役員のパソコンが感染し、取引先の情報までも漏えい

加工食品の製造および卸売業務を営むB社では、役員のパソコンがウイルスに感染。自社だけでなく取引先の情報までもが漏えいしてしまいました。取引先からはクレームを受け、信頼は失墜しました。

ケース4、5のいずれの事例にしても、セキュリティ対策の甘さを突かれ、信頼という何よりも大事な資産を失ってしまったことになります。しかも、本来は自らサイバー攻撃の被害者であるにもかかわらず、顧客または取引先にとっては加害者であるため、結果的にその被害は甚大になるものとなってしまうのです。安易に「うちの会社に限って」とセキュリティ対策をおろそかにすることは、攻撃者につけ入る隙を与える以外の何物でもないのです。

どうする？中小企業のサイバー攻撃対策

先のIPAの実態調査によると、「組織的に情報セキュリティ担当者がいる」と回答した小規模企業の割合はわずか19.6％。そして小規模企業の72.2％は社内・社外の「情報セキュリティの相談窓口が特にない」と答え、80.9％は「情報セキュリティ教育を実施していない」ことが明らかになりました。

このような状況を放置しておけば、攻撃を受けるのは時間の問題かもしれません。まずは基本的なセキュリティ対策を徹底することが最重要課題です。

IPAでは以下のような「情報セキュリティ5か条」を策定しています。「いったい何から手をつければよいのか」と迷う場合は、まずは以下の5つを実践しましょう。

1. OSやソフトウェアは常に最新の状態にしよう！
2. ウイルス対策ソフトを導入しよう！
3. パスワードを強化しよう！
4. 共有設定を見直そう！
5. 脅威や攻撃の手口を知ろう！

さらに高いレベルの対策を講じるなら、セキュリティ対策についてアウトソーシングする、クラウドサービスを活用するといったことも有効な手段です。しかし、いかにお金をかけて最新のセキュリティ対策を講じようとも、セキュリティ意識の低い従業員が不用意にメールを開け、そのままにしておいたら一巻の終わりです。意識改革を徹底し、セキュリティのさらなる強化を図りましょう。このように中小企業におけるサイバー攻撃対策は、アウトソーシングを含めたテクニカルな対策と、社員の意識改革の2本立てで進めることが重要です。

参考：

• 情報セキュリティ10大脅威 2017｜独立行政法人情報処理推進機構
• 情報セキュリティ5か条｜独立行政法人情報処理推進機構
• 「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について｜独立行政法人情報処理推進機構