中小企業が限られた予算で最適なランサムウェア対策を講じるには

2022年はサイバー攻撃をグッと身近に感じた一年だったと思います。筆者自身、SMB（中堅・中小企業）向けのチャネル・プリセールスとしてパートナー企業やお客様と日々対話をしますが、サイバー攻撃が巧妙化する中で中小企業のお客様の意識が変わりつつあることを実感しています。

今年、多くのニュースとなった「サプライチェーン攻撃」は意識を変えた要因の一つでしょう。トヨタ自動車の取引先企業がきっかけとなったインシデントを皮切りに、今も復旧が続く大阪急性期・総合医療センターは同院の委託事業社が感染経路だったことが判明しました。大手企業を直接狙うのではなく、関連の中小企業から牙城を攻める狡猾なやり方が広まりつつあります。

事実、チェック・ポイントの脅威インテリジェンス部門であるCheck Point Research（以下、CPR）によると、2022年の全サイバー攻撃の61％が中小企業を狙ったものだったという報告がありました。

中小企業でも医療記録や銀行口座といった機密情報を保持しており、これらの情報販売や、身代金の要求が可能なことから、サイバー犯罪者を惹きつける魅力の一端になっています。また、ランサムウェア攻撃による初期的な損失にとどまらず、機密保持法に違反することで罰金の対象となることもあり、大きな金銭的な打撃を受ける可能性があります。

さらに、多くの中小企業がビジネス継続において重視している顧客からの信頼が大きく損傷するリスクを考えると、サイバー攻撃がどれほど大きな被害をもたらすか、理解できるでしょう。

中小企業がデジタル化を推進し、多くの新しいテクノロジーを採用し続ける一方で、サイバーリスクは増加の一途をたどります。ハイブリッドワークのためにリモートアクセスを容易にし、SaaSプラットフォームの利用など、かつてないほど多くのデバイスがインターネットに接続し、脅威にさらされるようになったのです。では、中小企業はどのようにサイバーレジリエンスを高めればよいのでしょうか。

巧妙化するランサムウェア攻撃

サイバー犯罪者は、ランサムウェア攻撃の頻度と精巧さの両方において、進化を続けています。ランサムウェアは、素早く展開でき、効率的に見返りが得られるため、多くのサイバー犯罪者に好まれています。

ランサムウェア攻撃では、犯罪者が顧客の大切なデータにアクセス、暗号化して、多額の現金または暗号資産の支払いを要求します。被害者は犯罪者からロック解除コードが提供されない限り、データにアクセスできなくなります。

実際、2021年は、ランサムウェアの攻撃により、世界の企業が合計4900万ドルを身代金として支払ったと報告されています。ただし、犯罪者が相手であり、身代金を支払えばデータが解除されるという保証はなく、さらに要求してくる可能性もあることを忘れてはなりません。サイバー犯罪者の中には、盗んだデータの一部を流出させ何らかの圧力をかけたり、流出対象の個人に対して金銭を要求するなど、二重、三重の恐喝攻撃を仕掛けたりする者もいます。

犯罪者にとって「容易」なターゲットとなってしまっている現状

リモートワークへの移行はサイバー攻撃を増加させる原因になっています。攻撃者は、中小企業であってもリモートワークが拡大していること、そして中小企業のセキュリティ予算が潤沢でないことを認識しています。

このため、リモートワークはハッカーにとって格好の標的となり、貴重なデータへのアクセスを許す結果につながります。他方で、大企業は専門のサイバーセキュリティチームがあり、最新の脅威検出・防止技術を展開するリソースがあるため、攻撃者も慎重に対応します。

中小企業は、ランサムウェア攻撃に直面する可能性がさらに高まるだけでなく、ビジネスに及ぼす影響が大企業に比べて不均衡に大きくなることも認識しておく必要があります。大企業ではランサムウェア攻撃による金銭的損失は大きいかもしれませんが、回復するためのリソースがあります。しかし中小企業にとって、1度のサイバー攻撃により事業を停止させられてしまう可能性すらあるのです。

攻撃はどのように仕掛けられるのか？

ランサムウェアはフィッシングメールを通じて配布されることが多く、このフィッシングメールは、忙しい時に相手の目を引き、不用意な決断を誘うことを目的としています。ハッカーは一般的に、信頼できるブランドを模倣したり、同僚のメールアドレスに偽装したりして、メッセージに信憑性を持たせます。そして、被害者に不正なリンクをクリックするよう要求し、ランサムウェアを展開させるのです。

また、ソーシャルエンジニアリングという手法もあります。これは、ハッカーが被害者に関する情報を収集し、被害者との関係を構築してログイン情報を入手し、それをもとに攻撃を仕掛けるというものです。

多くの中小企業では、ノートパソコン、サーバ、デスクトップなどのエンドポイントは何らかの形で保護されていますが、防犯カメラなどのIoTデバイスは多くの場合保護の対象外です。個人の携帯電話やiPadを業務で使用する人も数多くいますが、そのうちのどの程度が何らかのモバイルセキュリティを導入しているでしょうか。最近のレポートでは、企業内のすべてのBYODの80％でセキュリティ上の管理がされていないことが判明しています。

携帯電話、タブレット、ノートパソコンなど、たった1台のデバイスとたった1人の従業員が、悪意のあるファイルをダウンロードしたり、不正なリンクをクリックしたりするだけで、企業ネットワーク全体が危険にさらされるのです。知らぬ間にランサムウェアが侵入し、システムからロックアウトされて取引ができなくなり、顧客の個人情報が暴露されてしまいます。

そのため中小企業では、詐欺の被害に遭う可能性を減らすために、従業員との関わりの中でリスクに対する認識を高めることが重要です。

限られた予算で中小企業が身を守るには

すべてはレジリエンスを向上させることから始まります。すべての組織が第一に行うべきは、セキュリティパッチを迅速に適用し、すべての従業員とデバイスを確実に更新することです。少しの遅滞でも、サイバー犯罪者に隙を突かれる可能性が生まれます。こうした更新を迅速かつ効率的に行えるよう、社内プロセスを改善することが重要です。

そして、バックアップデータがメインサーバから完全に切り離された場所に保管されていることを確認しておくことも重要です。多くの場合、バックアップは他のデータと同じサーバに保存されているため、攻撃を受けた場合そのデータもすべて犯罪者による利用が可能になってしまいます。ランサムウェア攻撃から復旧する際、従業員が日常業務の継続に必要な基幹ファイルにアクセスできるよう、組織は完全に分離されたオフサイトのネットワークバックアップを準備する必要があります。

予算は中小企業にとって障壁となる場合が多いため、新しいテクノロジーの導入を検討する前に、導入済みのソリューションの数を減らし、単一のプラットフォームやベンダーに統合することを優先すべきです。

これは、企業がビジネスのさまざまな分野に対する保護を目的として分野ごとに異なるサードパーティサプライヤーに依存することが多く、結果として重複した不必要な防御が追加される状況への対応です。関係するベンダーの数を減らすことにより、TCOを削減し、攻撃対象を減らし、ネットワーク全体を一元的に把握することで、セキュリティ上の異常事態の発見を容易にします。

セキュリティ対策はどの中小企業にとっても急務に

ランサムウェアの被害は拡大しており、その勢いは衰えを見せません。そのため中小企業は、攻撃が発生する前に、今この時から準備を始める必要があります。

この新たな変革期に向けて計画を立て始めるにあたり、サイバーセキュリティ戦略を一過性のものとして扱わないことが重要です。また、脅威の変化に適応できるよう、機敏な対応が必要です。ハッカーの手口は常に進化しているため、企業も同じ速度でアプローチを変えねばなりません。遅れが生じることでビジネス、そして企業に壊滅的な結果を招きかねないセキュリティ対策は、すべての中小企業にとって、今、優先的に取り組むべき課題です。