株式会社CISO代表 那須氏に聞く中小企業の情報セキュリティ対策のはじめ方 第一回 「迫り来るサイバー攻撃」

KV画像CISOインタビュー (2021年9月28日 掲載)

情報セキュリティ対策は大手企業だけでなく中小企業でも必須ですが、なかなか手が回らないのが実情です。そうした中小企業が抱える課題にセキュリティの専門家 CISO代表 那須氏が指南。自動車部品の製造業を営むA氏が情報セキュリティ対策について那須氏に相談した内容をシリーズでお届けします。第一回の本記事では中小企業が狙われるサイバー攻撃の種類とその被害内容について解説します。

目次

ナビゲーター

CISO 那須代表

那須 慎二 氏

株式会社 CISO 代表取締役

中小企業経営者A氏の悩み

A氏は都内で自動車部品の製造業を営んでいます。会社の規模は大きくないのですが、独自の加工技術を持っており、大手の自動車メーカと安定的な取引が出来ています。A氏が参加したある会合で、サイバー攻撃を受け機密情報が流出したことにより、大きな被害を被った同業他社の話を聞きました。その会社はA氏の会社と同じく中小規模であったため、A氏は自社も狙われるのではないか? 情報セキュリティは大丈夫なのか?と不安を感じ、企業セキュリティの専門家である株式会社CISO代表取締役の那須 慎二 氏に相談を持ち掛けました。

中小企業経営者 A氏
情報セキュリティの専門家 那須氏

中小企業もサイバー攻撃の対象


サイバー攻撃は大手企業を狙うものと思っていましたが、うちと同じ規模の企業が被害に遭った話を聞きました。漠然と、中小企業は狙われないものだと考えていたのですが…


今は多くの中小企業がサイバー攻撃の被害者になっています。特に、大手企業と取引などを通じて繋がりがある企業が狙われています。


そうなんですか!うちも大手の自動車メーカと取引をしているので...何だか不安になってきました。でも、どうして中小企業を狙うんですか?大手企業を直接狙った方が早い気がします。


それは、大手企業はセキュリティがしっかりしていて、サイバー攻撃をしかけても簡単には成功しないからです。一方、中小企業は比較的セキュリティが甘いことが多いため、まずはそちらに侵入して足掛かりをつくり、本来のターゲットである大手企業の情報を奪います。もちろん、この過程で中小企業に重要な情報があればそちらも攻撃の対象になります。
これはサプライチェーン攻撃と呼ばれ、頻繁に行われている手法です。

ランダム型攻撃と標的型攻撃


なるほど...セキュリティが甘い中小企業が取引先にいると、大手企業の弱点になり得るんですね。でも、こういう企業どうしの付き合いってどこから漏れるんですか?


折角なので、その点も含めてサイバー攻撃についてもう少し詳しくお話ししましょう。まず、ご質問の企業どうしの付き合いについては、例えばWebサイトに活動実績として取引先企業の名前を掲載していると、関係があることがすぐに分かってしまいます。その上でセキュリティが甘く、攻撃者にとって狙い目の中小企業をどうやって探すのか?というと、まずマルウェア(コンピュータウイルス)を仕込んだファイル付きのメールを広範囲にばらまき、開封してしまった企業のシステムに片っ端から侵入する。これを「ランダム型攻撃」と言います。そして、セキュリティが不十分な上に重要な情報を持っている、大手企業と繋がりがあるなど、攻撃者にとって価値が高い中小企業を見つけると、そこに的を絞って情報を奪う「標的型攻撃」に切り替えていきます。

企業の情報が狙われる理由


そういう攻撃があるんですね。そもそも、なぜ企業の情報が狙われるんでしょう?


それは、情報がお金になるからです。分かりやすい例で言えば、近年猛威を振るう「ランサムウェア」。これはコンピュータウイルスの一種で、企業のシステム内にある情報を暗号化することができます。サイバー攻撃者は情報を暗号化した上で「もとに戻して欲しければお金を払え」と企業を脅すため、身代金ウイルスとも呼ばれます。また、こうした身代金の要求金額は場合によっては数千万円〜数億円単位になることがあります。
ほかにも、情報は第三者に売ることが出来ます。インターネットには「ダークWeb」と呼ばれる特別な方法を用いなければ入ることができない、匿名性が高いWebサイトが存在しています。ダークWebには薬物や拳銃など違法な物品の取引に使われている所もあり、企業の情報もそういったWebサイトで売買されます。このような取引により、強みだった技術情報などが競合企業に渡ると競争が不利になりますね。
また、「ダークWebで機密情報を公開するぞ、さもなくばお金を払え」と脅迫されることもあります。こうしたケースで用いられるのは、こっそり情報を抜き取っていく「ファイルレス攻撃」です。これはコンピュータウイルスではなくPCに入っている標準的な機能(*PowerShellなど)を悪用してPCやネットワークに潜り込みます。ウイルスではないため既存のウイルス対策ソフトでは検知できず、入り込まれると徐々に権限を拡大して情報を盗み、攻撃元に送信していきます。

*PowerShellはMicrosoftが開発したスクリプト言語とその実行環境機能の総称

まずはサイバー攻撃への警戒心を持つことが大事


ランサムウェアは情報を人質にとった身代金ウイルス、ファイルレス攻撃はウイルス対策ソフトを潜り抜けて情報を盗み取る...攻撃される事を思うと、ゾッとします。身代金もそんなに高額だなんて...。


まずはその怖さを持つことが大切です。情報セキュリティはどの企業でも必要ですが、生産設備や営業上の投資と違ってそれ自体が利益に直結するものではないので、軽視されがちです。しかし、一度サイバー攻撃の被害に遭うと金銭を奪われるだけでなく、「あの企業は情報を盗まれたらしい。このまま取引していると、うちから預けたデータまで流出するかもしれない」と思われ、顧客との取引や社会的信用まで失いかねません。そのため、まずサイバー攻撃は恐ろしいものだという認識を持ち、備えていくことが重要です。


那須さん、今日はどうも有難うございました。また色々とお話を聞かせてください。


もちろんです。またいつでもご相談ください。

(文 : 永沼)

記事では紹介しきれなかった、より詳細な情報は下記フォームより資料をダウンロード頂けます。貴社のセキュリティ強化のため、社内回覧などにお役立て頂ければ幸いです。