ランサムウェアのソフトを売買する市場が拡大、サイバー攻撃はビジネスに～中小経営者もサイバー対策の重要性の認識を

コンピュータウイルスなどによるサイバー攻撃が世界各地で相次ぎ、セキュリティ対策の需要が増している。新型コロナウイルスの感染拡大を背景にオンライン会議やテレワークが増加する中、総務省によると、サイバー攻撃の数は2021年にコロナ禍前の10年に比べて3倍に増加したそうだ。インターネットや書類の電子化の普及に伴い、メールなどを通じた情報漏えいも起きている。

大企業は大金を投資して被害を事前に防ぐことも可能だが、そこまでの資金を投入できる中小企業はほとんどない。本連載では資金力に乏しい中小企業がサイバー攻撃を回避するためにどんな対策を取るべきなのか実例を交えて解説してきた。最終回となる今回は、サイバー脅威の動向や対応についてサクサの佐々木巧馬氏にインタビューする（聞き手：ジャーナリスト 日高広太郎）。

• サクサ マーケティングイノベーション本部 事業企画部 セキュリティエバンジェリスト 佐々木巧馬氏

日高：インターネットや全てのモノがネットにつながるIoT機器の普及などを受けて、官庁や民間企業に対するサイバー攻撃が増えてきました。最近では大企業だけでなく、中小企業や零細企業に対する攻撃も激しさを増しています。これにはどのような背景がありますか。

佐々木：私は、サイバー攻撃がビジネスとして拡大していることが背景にあると考えています。これまでは高度な技術を持つ人が自分の能力を誇示するために攻撃していました。例えば、政府や大企業にハッキングを仕掛けるなど、巨大な組織に挑戦するといったものです。政治的主張をするためにサイバー攻撃をする「アノニマス」のようなハッカー集団もいます。

一方で、現在主流となっているのはランサムウェア（身代金要求型ウイルス）などを使ったお金目当てのサイバー攻撃です。「RAGNAR LOCKER（ラグナロッカー）」など、攻撃者にウイルスを提供して対価を得る「ランサムウェア・アズ・ア・サービス（RaaS）」を展開する集団も現れています。このため、高い技術を持たない犯罪集団でも、ダークウェブ（闇サイト）でランサムウェアなどのソフトを購入して、お金目当ての攻撃ができるようになってしまいました。

• 企業・団体等におけるランサムウェア被害の報告件数　出所：警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」

• サイバー犯罪の検挙件数　出所：警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」

日高：RaaSは今後も増えていくのでしょうか。そうなれば、資金力の不足する中小企業へのサイバー攻撃もさらに増えるのではないでしょうか。

佐々木：民間の調査では、2028年にRaaSの市場規模が世界で31億ドルに達するとの予測もあります。アジア太平洋地域は欧州に次いで2番目に大きな市場です。中でも日本は世界平均に比べて身代金を支払う企業の比率が高く、狙われやすいといわれています。

中小企業は全般的にサイバーセキュリティへの対策が十分ではありません。攻撃者は防備が不十分な組織を狙います。警察庁の調査によると、ランサムウェア被害を受けた企業・組織の53%が中小企業で、20%が団体、大企業は27%でした。

中小企業では、何の疑いもなく怪しいメールにあるURLをクリックしたり、パスワードを入れたりする従業員もいると聞きます。サイバー攻撃の対象となる中小企業は日本だけで何百万社もあり、すでにダークウェブで企業の機密データや個人情報がリストになって販売されています。しっかりした対策を講じなければ、今後こうした市場はさらに拡大していくでしょう。金融面では、暗号資産の市場も拡大しており、マネーロンダリング（資金洗浄）もしやすくなってきました。

• ランサムウェア被害の企業・団体等の規模別報告件数　出所：令和4年におけるサイバー空間をめぐる脅威の情勢等について

日高：日本はIT後進国とも呼ばれます。日本の中小企業が狙われやすい理由には、こうした背景もあるのですね。

佐々木：サイバー攻撃に狙われやすい原因の一つは、IT関連の教育や情報の不足です。中小企業はパソコンにセキュリティソフトをインストールしてはいますが、その他の対策をほとんど取れていません。情報システム部門もなく、経営者も含めてIT人材が少ないのが現状です。そのため、サイバー攻撃への対策の価値を理解できる人がおらず、対策を講じないという悪循環に陥っています。

また、日本ではサイバーセキュリティについてほとんど教育されていません。ネットの普及などもあって、若年層は新聞やテレビを通じて時事問題に触れる機会が減っています。ネットニュースやSNSだけで自分が欲しい情報のみを収集する人も増えています。ニュースの知識や一般常識が不足している人が増加し、ランサムウェアなどの攻撃を受けやすくなっていると考えています。

日高：サイバー攻撃自体がさらに高度になっていることは考えられませんか。

佐々木：以前主流だった、メールでウイルスなどを送りつける「ばらまき型攻撃」はプログラムで作られていたため、見分けやすく、だまされる人は少数派でした。文面が不自然で直感で「このメールはおかしい」と思えるからです。しかし、今のランサムウェアなどは生成AI（人工知能）などを活用してメールの文面を作成しており、見分けづらくなっています。

このためサイバーセキュリティの世界では、社内外の通信を性悪説で検知し被害を抑える「ゼロトラスト」が基本になっています。被害を100%無くすのではなく、万が一にもマルウェア（悪意のあるプログラム）に感染してしまったら迅速にプログラムを停止するなどして、被害を最小限に抑える方法です。感染後の早期発見により被害を最小限に抑える「EDR」というセキュリティ対策ソフトもあります。これは、システムのログを毎秒チェックして、マルウェアがパソコンに入ってきていないかどうかを常時監視するものです。

日高：サイバーセキュリティのシステムでは、メールの真偽を自動チェックできないのでしょうか。

佐々木：標的型攻撃の文面は通常のビジネスメールと違いがないため、機械的な判定は困難です。最終的には人間がチェックして判断する必要があると思います。

日高：サイバー攻撃対策が不十分であった場合、企業経営にどんな影響が起きると考えられますか。

佐々木：例えば売上高が1億2000万円の企業であれば、マルウェアに感染して業務が1カ月停止すれば、単純計算で売り上げが1000万円減ります。中小・零細企業の経営者の中には「うちには大した情報はないので、情報を盗まれても大丈夫」などと言う人もいますが、サイバー攻撃では自分が加害者になるリスクがあることを理解しなければなりません。自社がマルウェアに感染し、取引先にマルウェア付きのメールをばらまいて迷惑をかければ、企業の信頼は地に落ちてしまいます。

日高：最後に、中小企業の経営者にメッセージをお願いします。

佐々木：サイバー攻撃の被害に遭う前にセキュリティの重要性を認識するのは容易ではありません。「費用対効果が見えない」「対策を強化しても売り上げが増えない」などという経営者も少なくありません。しかし、サイバー攻撃への対策は企業が事業を継続していく上で不可欠です。セキュリティ関連の商材を買うだけでなく、現状のリスクを理解した上で対策を講じることが重要です。

（編集協力　P&Rコンサルティング）