世間では、大企業がハッキングされたというニュースをよく耳にします。

そのため、中堅・中小企業の間では「ハッカーは大企業だけを標的にしている」という誤った認識が広まっています。しかし、残念ながら、この認識は事実からかけ離れています。警察庁の調査によれば、ランサムウェア攻撃を受けた53%が中堅・中小企業であることが判明しています。

最近、ハッカーは次のような理由から、中堅・中小企業を意識的に標的にしていることがますます多くなっています。

1) 迅速かつ容易に利益を得ることができる

大企業がランサムウェアに感染し、暗号化されたファイルを復元したければ多額の身代金を支払うよう要求された場合、身代金を支払って一刻も早く攻撃から回復することを望むか、それとも支払いを拒否してバックアップから回復できる可能性に賭けるかのうち、どちらかの方法を選択することになります。

一方、中堅・中小企業は大企業と比較して重要なデータをすべてバックアップしておらず、そのような事態に備えてデータ復旧の訓練を行っているとも限りません。そのため、ランサムウェア攻撃の被害にあった場合、バックアップを通じたデータ回復にかかるコストの方が身代金の支払いよりも大きい場合があります。

また、中堅・中小企業は大企業と比べて専任のセキュリティチーム、強力なセキュリティポリシー、従業員に対するサイバーセキュリティ教育プログラムなどのセキュリティ対策が不十分で、トレーニング不足の従業員、脆弱なパスワード、緩いメールセキュリティ、時代遅れのアプリケーションなどのような「よくある脆弱性」が理由で、攻撃者にとって格好の標的となっています。

ランサムウェア攻撃を受けた一部の企業は、やむを得ず身代金を支払うケースがありますが、サイバーリーズンの調査によれば、46%の企業がすべてのデータを回復できなかったと報告しています。さらに悪いことに、ハッカーは企業が身代金を支払うことを知ると、その企業を再び標的にすることがよくあります。ランサムウェア攻撃を受け身代金を支払った企業のうち約80%が、再び攻撃を受けたと報告しています(サイバーリーズン調べ)。

2) 中堅・中小企業は大企業に侵入するための入り口となる

誰もが一度は見たことがある映画のシーンを思い出してみてください。銀行強盗が銀行の隣にある小さな店の鍵を盗み、毎晩その店を訪れてトンネルを掘ります。その後、彼らは誰にも気づかれずに銀行の金庫室に入り、大量の現金を持って帰るのです。これと類似した出来事がサイバー空間の世界では毎日のように起こっています。すなわち、サイバー犯罪者は、中堅・中小企業に侵入することで、中堅・中小企業を「大企業への入り口」として利用しているのです。

中堅・中小企業は、サプライヤーと顧客の関係を通じて大企業へアクセスするための認証情報を持っている場合がありますが、ハッカーが大企業のデータを盗み出すためにこの認証情報を標的にします。今日のビジネスは取引を完了し、サプライチェーンを管理し、情報を共有するために、互いにサイバー空間で接続されています。

例外はあるものの、大企業はセキュリティ対策が施されており、侵入が難しくなるため、ハッカーは大企業のシステムに侵入する方法として、より小規模なパートナーを標的とし、踏み台にしているのです。

3)中堅・中小企業が被害に巻き込まれる

サイバー犯罪者は、より大きな標的を追い求めるために、中堅・中小企業に間接的に危害を加えることがあります。このような状況は、中堅・中小企業がITやデータの管理をサードパーティのソフトウェア会社やSaaSなどのクラウドサービスに委託している場合に発生する可能性があります。

そのソフトウェアやクラウドサービスがハッキングされると業務が停止する可能性があるため、問題が解決するまで待たなければならなくなります。

このように、中堅・中小企業は、自らの過失ではないにもかかわらず、サイバー攻撃の巻き添えを食らい、深刻な財務的被害や風評被害を受ける可能性があります。

中堅・中小企業はサイバーセキュリティを強化するために何ができるか?

中堅・中小企業に届いた1通の単純なフィッシングメールによって災難をもたらすことがあります。大きな池の中にいる1匹の小さな魚であるかもしれませんが、それは最も簡単に捕食されることを意味しています。

多額の予算がない場合でも、中堅・中小企業がサイバーセキュリティを強化するために実施できる対策はいくつかあります。ここではデータを保護し、従業員の準備を整えるためのヒントをいくつか紹介します。

  • 多要素認証を有効にする: ログイン時にすべてのユーザーやデバイスに対して2つ以上の認証要素を要求することは、攻撃者が保護されたリソースにアクセスするのを防ぐ最も効果的な方法の1つです。
  • サイバーセキュリティに関する研修を定期的に実施する: 一般的なサイバーセキュリティ脅威を認識して防御するための研修を受けることで、従業員は差し迫ったサイバー脅威に対する最初の防衛ラインとして機能できるようになります。
  • 定期的に複数の場所へとファイルをバックアップする: データ損失が比較的小さい場合であっても多くの費用がかかるため、効果的なデータのバックアップおよび復旧ソリューションを導入することが不可欠です。攻撃者はオンラインのバックアップサーバもランサムウェアの標的にするため、オフラインでバックアップを取っておくことも重要です。
  • ソフトウェアを最新の状態に保つ: パッチが適用されていないソフトウェア(正確には攻撃可能な脆弱性が内在している古いバージョンのソフトウェア)は、多くのデータ漏洩の原因となっています。場合によっては、パッチの適用には時間がかかりますが、それは最も「見返りの大きい」対策の1つであり、侵害を防ぐために非常に効果的です。
  • 電子メールセキュリティ対策を導入する: ハッカーは、手間をかけずに多くの潜在的な被害者を標的にできる電子メールを好んで利用します。各種の電子メール保護ソリューションを利用することでフィッシングメールが従業員の受信トレイに届く前に、それを阻止できます。
  • 保存時と転送時にデータを暗号化する: Wi-Fi経由の盗聴や物理デバイスが盗まれることを考慮するならば、保存時のデータの暗号化(BitLockerなどの暗号化機能を使用)および転送時のデータの暗号化(TLSなどの技術を活用)を行うことは最大の優先事項です。
  • 脆弱性テストを実施する: 脆弱性テストの目的は、各システムやネットワークの脆弱性を明らかにすることで、セキュリティを向上できることです。脆弱性テストは、最も重大なものから始まり、侵害につながる可能性が最も低いものへと至るまで続けられます。

これらの対策が正しく実施され、進化し続けるサイバーセキュリティ状況を反映してそれらが常に更新されている限り、ハッキングの試みのリスクや中堅・中小企業へのサイバー攻撃による感染やデータ漏洩のリスクを大幅に低減できます。

企業規模にかかわらず、サイバーセキュリティは真剣に取り組むべき課題です。これに真剣に取り組まない場合、結果として顧客からの信頼を失い、大きな経済的損失を被る可能性があります。企業のセキュリティは、事後的(リアクティブ)なものではなく、予見的(プロアクティブ)なものである必要があります。上記のような対策を講じるために必要な時間とリソースを投資することが、ビジネスの継続的な成功につながります。

増大するサイバー脅威からさらに身を守るために、サイバーセキュリティソリューションを活用することで、情報資産の保護、ネットワークの保護、そして脅威分析、対処が可能になります。幸いなことに、サイバーセキュリティの世界には、中堅・中小企業がより高度にセキュリティに取り組めるように最適化されたソリューションが数多く提供されています。

自社のサイバーセキュリティ対策を見直すのが遅れるほど、攻撃を受ける可能性が高くなります。あなたの組織の大切な情報資産は、すでに危険にさらされているかもしれません。待ったなしで、今すぐサイバーセキュリティを強化しましょう。それにより、ビジネスを安心して運営できるようになり、休息時はより安心して過ごすことができるでしょう。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/

※ 出典: 警察庁令和4年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf