ランサム・マルウェア攻撃からの脆弱性克服への取り組み
ランサム・マルウェア被害を受けやすいセキュリティ対策の脆弱な中小企業が相次いでいます。IoTやAIの普及により、さまざまな情報や金銭のやり取りがインターネット上で行われるなか犯罪グループはサイバー空間をもターゲットにしています。ダークウェブ(サイバー犯罪が公然と行われる空間)で攻撃用ツールが売買され、高度な技術レベルを持たないグループでもサイバー攻撃に加わりやすく、企業のセキュリティリスクは今後ますます加速していきます。
被害の発生状況は
近年とくに増えているのが、身代金要求型「ランサムウェア」。PC等に保存されたファイルを暗号化して使用できないよう不正に操作され復旧と引き換えに身代金を要求してくる犯罪。IPA(独立行政法人情報処理推進機構)が毎年発行している資料「情報セキュリティ10大脅威」では、ランサムウェア被害が3年連続で脅威のトップランナーです。
警察庁資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、2023年上半期に警察庁に報告のあった「企業・団体等におけるランサムウェア被害」の件数は103件、うち約6割を中小企業が占めていました。被害を受けた業種の内訳では幅広い業種が攻撃対象となっており、感染経路はVPN機器やリモートデスクトップからの侵入が8割超。
サイバー攻撃を仕掛ける側は、事業規模や業種を問わず攻撃してきます。サプライチェーンの中でも最も対策が脆弱な企業や組織を狙い撃ちしてくるのが特徴的です。とくに中小企業では被害を受けても気付かないケースや公表・報告をしないケースも見られ、被害実態は把握できない部分もあります。経営者が『うちの規模や業種なら大丈夫』と高を括っていると狙われるリスクは非常に高まってくるのです。
高額にのぼるランサムウェア被害からの復旧・対策費
実際サイバー攻撃を受けてしまえば業務全体に被害を被り、それ以降のダメージも大きいものにならざる得ません。操業停止や情報漏洩、金銭損失のほかにも取引先から信頼を失い取引停止につながりかねない甚大な悪影響を及ぼします。
ランサムウェアの被害に遭った企業・団体等へのアンケート結果では、有効回答60件のうち、復旧に要した時間で最多は「1週間以上~1か月未満」(19件)、なかには1カ月以上を要したという回答も10件ほど見られました。有効回答53件のうち、半数以上が調査・復旧のために500~5000万円以上の多額の費用を要したと回答しています。
波及的被害の発生
リスク要因の一つが被害の範囲が取引先にまで及んでしまうこと。たとえば昨年トヨタ自動車が仕入れ先企業のシステム障害により、国内の全工場の稼働を停止したケース。この事故では仕入先企業の子会社が外部企業との通信に使っていたリモート接続機器の脆弱性を突かれ、不正にアクセスされたことが契機になっています。子会社の社内ネットワークを介して仕入先企業内ネットワークに侵入され、ランサムウェアに感染したのです。
サイバー攻撃グループは、サプライチェーンのなかでも最も攻撃に弱い企業を突いてきます。ランサムウェア攻撃では「攻撃を受けていることを取引先に公表するぞ」と脅迫するケースが見られ、被害企業が信頼失墜と取引停止を恐れて金銭支払いに応じるケースが後を絶たないのです。
中小企業のセキュリティ対策の実態
とりわけ中小企業がサイバー攻撃の被害を受け、被害が取引先にも及んだら取引先はどのような対処を行うべきなのでしょうか。
2019年の大阪商工会議所が大手・中堅企業を対象に実施したアンケート結果では、対策として「口頭や文書での注意喚起」(51%)、「損害賠償請求」(47%)「取引停止」(2.9%)など厳しく措置すると答えた企業も多く見られました。サイバー攻撃を受けた企業は被害者である一方、取引先の機密情報漏洩事故をおこした場合は同時に加害者でもあり重い責任を問われることもありうるというのが本音でしょう。
事業を継続できなくなる致命的リスクがあるにもかかわらず、なぜセキュリティ対策ができていない中小企業が少なくないのでしょうか?
IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によれば「過去3年間でセキュリティ対策への投資を行っていない」と回答した中小企業は33.1%。そのうち投資を行わなかった理由として最も多かったのは「必要性を感じていない」(40.5%)、次いで「費用対効果が見えない」(24.9%)、「コストがかかり過ぎる」(22.0%)が上位を占める結果に。
サイバー犯罪が経営に脅威だという認識はあっても身近では脅威と捉えない中小企業経営者がまだまだ多い。またサイバーセキュリティ対策は、営業力や生産力の強化と異なって売り上げや利益に及ぼす影響が見えにくい。人的資源や資金力に限りがある中小企業には優先順位が上がりにくいのが実情なのです。
まとめ
セキュリティ対策に向けて人材確保や資金調達に余裕のない中小企業は、今後どのように対策を行えばよいのでしょうか。
まずは日々のソフトウェア更新作業やセキュリティソフト利用方法の研究、設定の見直しや検証と言った基本的対策から段階的に取り組んでみること。重要なのは、平時から防御体制を確立させ有事の際に早期に検知・防御・復旧に段階的に取り組めるステップアップ式の仕組みを構築できるかが問われます。その上で下記2つの備えを検討・考慮しておくことが求められます。
『平時の備え』IPAが中小企業経営者や実務担当者が情報を安全に管理するための手順を示した「中小企業の情報セキュリティ対策ガイドライン」を公開、何から取り組めばよいかわからない中小企業でも理解しやすい内容がウェブ公開されています。加えてガイドライン付録「5分でできる!情報セキュリティ自社診断」では、25項目の設問に答えれば自社セキュリティの脆弱性部分を把握でき、項目ごとに具体的な対策例も提示されているのが特長です。
『有事の備え』活用しやすいのがIPAが2021年から中小企業向けに始めた「サイバーセキュリティお助け隊サービス」制度。これは「相談窓口」「ネットワークや端末の24時間監視」「緊急時の支援」「簡易サイバー保険」など各種対処に必要なサービスをワンパッケージ提供している民間サービスの登録制度。現在35社45サービスが展開され、ネットワーク監視は月額1万円以下、端末監視は1台当たり月額2000円以下と言った中小企業でも検討しやすい価格帯にて提供されています。
そう言ってもとるべき対策レベルは個別中小企業により様々。機密性の高い情報を扱っており被害が発生した際に取引先や顧客にまで深刻な影響を与える可能性が高い場合ほどより強固な対策が必要なのは言うまでもありません。自社がどのレベルまで対策を講じる必要性があるのか適切に分析把握しておくことが重要になってきます。リスク分析に悩んだらコストはかかりますが専門家へ確実に相談すること。
将来的に中小企業でもあらゆる面でIT活用が不可欠になる情勢です。そこで自社にてIT人材を育成する場合は育成対象者にサイバーセキュリティ対策の知見も含め深めてもらうこと。社内対応が難しい部分は外部に任せ、セキュリティ対策の重要性を取引先や従業員に広くあまねく周知していくことから始めるべきではないでしょうか?