狙われる中小企業！経営リスクとしてのサイバー攻撃から会社を守るために

総合セキュリティ対策大手のチェック・ポイント・ソフトウェア・テクノロジーズが主催する、中小企業向け最新セキュリティ対策セミナーが、2017年4月20日に東京・竹橋で開催された。同社に加え、情報処理推進機構(IPA)セキュリティセンター、船井総合研究所サイバーセキュリティチームによるセッションも実施され、中小企業が注意すべきセキュリティの現状や対策などが紹介された。

同社のシステムエンジニアリング部セキュリティエキスパートの小林晋崇氏は、世界の最新セキュリティ事情を解説。米Yahoo!の2回にわたる億単位のユーザー情報の流出、米小売大手のTargetで発生した7,000万人のユーザー情報、4,000万件のクレジットカード情報の流出を紹介し、特にTargetでは委託企業のFazio Mechanical Serviceに対する標的型攻撃が行われ、それを経由してTargetのPOSがマルウェアに感染したという侵入経路を説明する。

チェック・ポイント・ソフトウェア・テクノロジーズ、システムエンジニアリング部セキュリティエキスパートの小林晋崇氏

中小企業を攻撃することで大手企業の情報を狙う

米国の調査では、情報漏えい全体の件数に対して、大手企業に対する攻撃と違い、中堅・中小企業では約83％に脆弱性があるという。一定のセキュリティ対策予算がかけられる大手企業ではなく、対策の進んでいない中小企業を攻撃することで、本丸の大手企業の情報を狙う例が増えていると小林氏は指摘する。

急増するランサムウェアの攻撃については、米国の病院、イギリスのデスクトップ仮想化企業、カナダの大学など、多くの企業・団体などが感染し、実際に身代金を支払った例を紹介しつつ、米サンフランシスコの地下鉄のシステムが感染してチケットを発券できず、無料で乗客を乗せざるを得なかったり、オーストリアのホテルが感染してカードキーが使えなくなって宿泊客が部屋に戻れなくなったり、単なるファイルの暗号化だけではない被害が出ているという。

米連邦捜査局(FBI)によれば昨年1年間に支払われた身代金の額は10億ドルに達したという。ランサムウェアが数千円で購入できるほか、ＲaaS(ランサムウェア・アズ・ア・サービス)としてサービスとして提供されるようになったことで、誰でもランサムウェアビジネスに参入でき、被害が急増している現状を警告する。

もちろん、日本もそうした状況は他人事ではなく、小林氏は「増加傾向でどんどん被害が増えている」という。

国内でもランサムウェアへの感染が急増

IPAセキュリティセンター情報セキュリティ分析ラボラトリーのラボラトリー長である小川隆一氏は、国内でもランサムウェアの被害報告数が2016年度上半期に急増したと説明。IPAによる「情報セキュリティ10大脅威 2017」では組織向けで1位に標的型攻撃、2位にランサムウェアがランクイン。特にランサムウェアは前年の7位からの大幅ランクアップで、脅威の拡大を伺わせている。

情報処理推進機構(IPA)セキュリティセンター、情報セキュリティ分析ラボラトリー長の小川隆一氏

ランサムウェアは攻撃者がメールなどで仕掛けたマルウェアをパソコンなどに感染させファイルを暗号化し制限をかける。その攻撃者は身代金を要求し、被害者が身代金を支払えば暗号化を解除すると言われているが、小川氏は「お金を払っても(暗号化を解除する)鍵をもらえる保証がない」と指摘する。さらに感染すると復旧に手間がかかるうえに直接的、間接的にさまざまな費用がかかることから、定期的なデータのバックアップの重要性を強調する。国内の被害額の総計は明らかになっていないが、小川氏は「トレンドマイクロの調査結果から結構な額が支払われているようだ」という認識を示し、注意を促す。

2015年に日本年金機構が標的型攻撃メールによって大量の個人情報を流出した。情報セキュリティ対策の不備に加え、内部での情報共有が徹底されていなかった点も被害につながった要因である。その後、各独立行政法人などの公的機関において情報セキュリティ対策が徹底され、またIPAも参画して対策実施状況の監査やネットワーク監視が行われている。独立行政法人、指定法人等の監査は2020年までに一通り完了する方針になっている。

小川氏は、「標的型攻撃メールは、みんな開いてしまう。開くなというのは無理」と強調。「不審なメールは開かない」という対策だけではなく、メールを開いて感染しても「ここまでで被害を止める」といった考え方が必要だと指摘する。「攻撃は弱いところを突いてくる」と小川氏。大企業と取引のある中小企業を踏み台にするため、まずは、中小企業に対して取引先からのメールを装った標的型攻撃メールが来るということは大いにありえる。改めて、中小企業の情報セキュリティ対策が必要だと訴える。

IPAのサイバーレスキュー隊(J-CRAT)は、標的型攻撃メールの感染が疑われる企業が連絡することで、情報の分析や初動対応のアドバイス、民間のセキュリティベンダーの紹介などを無償で実施している。「何か起きたと思った時はサイバーレスキュー隊(J-CRAT)へ問い合わせるのもひとつの手」と紹介する。

さらに、IPAでは2016年11月に「中小企業の情報セキュリティ対策ガイドライン」を改定し、中小企業の経営者が認識すべき3原則、企業として取り組むべき「重要7項目の取組」「情報セキュリティ5カ条」が掲載されたクイックリファレンスを公開している。特に、情報セキュリティの事故が起きる前提でインシデントレスポンスを準備しておく必要性があるため、まだ、情報セキュリティ対策ができていない企業は「中小企業の情報セキュリティ対策ガイドライン」を参照していただきたい。

サイバー攻撃に対して現実感を持てていないのが問題

船井総研サイバーセキュリティチームのチームリーダーであるシニア経営コンサルタントの那須慎二氏は、実例やデモをまじえてサイバー攻撃の実態を紹介。IoT機器への攻撃の増加、不正広告によるマルウェア感染被害、ランサムウェア、Webサイトの不正アクセスといった攻撃が確認されており、特にとあるWebサイト不正アクセスの被害企業では、サイト経由での問い合わせが0件になって経営にダメージがあったほか、サイトが停止していたため、Google検索で企業名のサジェスチョンに「倒産」が出てきてしまい、二次被害も発生したそうだ。

船井総合研究所サイバーセキュリティチーム、チームリーダーでシニア経営コンサルタントの那須慎二氏

那須氏は、サイバー攻撃を「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、企業が現実感を持てていない点を指摘。攻撃に遭うと、逸失利益や機会損失という直接被害だけでなく、業務継続のための費用や損害賠償、広報費用などの間接被害も拡大し、サイバー攻撃が「明らかな経営リスク」として対策の必要性を強調する。

さらに、フィッシング詐欺サイトで実際にIDとパスワードが盗まれる様子や、PC乗っ取りによってさまざまな情報が盗まれる様子をデモした那須氏は、インターネット上では「ド素人とプロの攻撃者が同じリング上で戦うことになる」との現状認識を示す。

そのうえで、「中小企業のセキュリティ3つの対策」として、現状の脅威や被害の実態などを知ること、OSやブラウザなどのアプリケーション、ウイルス対策ソフトなどを最新にする、情報セキュリティポリシーの設定や社員教育、UTMの導入やバックアップなどといった多層防御という対策を紹介。

那須氏は、「いかに資産を守るか経営戦略のうえで重要だという認識を持って欲しい」と強調する。

今回のセミナーでは、サイバー攻撃が中小企業の経営リスクであり、しかもサプライチェーンの中で狙われやすいことが強調された。とはいえ、すぐに万全の対策が打てる企業は多くないだろう。チェック・ポイントの小林氏は、無償の診断サービスを実施しているセキュリティベンダーもあるため、「会社の健康診断」として利用することを推奨。船井総研の那須氏は、セキュリティ対策を強化していることで信頼度が向上して事業拡大につながった例もある、とも紹介。いかに経営にとってセキュリティ対策が重要なものであるかという点が示されていた。