中小企業が標的となるサイバー攻撃とその対策

中小企業が標的となるサイバー攻撃とその対策

(2021年5月10日掲載)

新型コロナウイルス感染症の影響で、一気に進んだテレワークなどのデジタルシフト。一方で、セキュリティの不備を狙ったサイバー攻撃が急増しています。
本ブログでは、セキュリティコンサルタントの株式会社CISO 那須慎二氏が2020年12月に登壇したウェビナーの中から、中小企業も標的となりうるサイバー攻撃と、すぐに実践すべき7つのセキュリティ対策を紹介します。


目次

テレワーク導入で高まる情報漏えいリスク

コロナ禍で半ば強制的にテレワークを実施した企業も多いと思います。テレワークでのリスクにはどのようなものがあるのでしょうか。例えば社員が自宅のPCでテレワークをはじめた場合、ウイルス対策ソフトのパッチファイルが最新にアップデートされていなかったり、自宅Wi-Fiのセキュリティ設定に不備があったりしてPCが乗っ取られる、といったものがあります。その結果、情報漏えいなどの被害が発生するわけです。
また、Web会議ツールでは、第三者が会議に参加できるという問題が発覚するなど、テレワーク導入は2020年にサイバー攻撃が急増した要因の一つとなっています。

中小企業が知らないうちにサイバー攻撃の加害者に

サプライチェーン攻撃というサイバー攻撃があります。最終的な標的である大手企業に直接攻撃をせず、まず、その大手企業と取引のある中小企業に侵入し、そこから大手企業に攻撃をしかける、というサイバー攻撃です。大手企業に比べセキュリティ対策が甘い中小企業が最初の標的とされるため、中小企業にとって無視できません。しかも、侵入された場合、知らないうちに自社が加害者となって大手企業を攻撃することになります。自社のためだけではなく、取引している他の企業のためにもセキュリティ対策は重要といえます。

その他の知っておくべきサイバー攻撃

ランサムウェア

顧客情報といった機密データの窃取や暗号化を行い、窃取したデータの公開停止や暗号化したデータの暗号化解除のためにお金を要求するというサイバー攻撃です。2020年11月に大手ゲームメーカが被害に遭いました。中小企業では、会計事務所がランサムウェアで社内システムのデータを暗号化され、最終的に倒産に追い込まれました。攻撃される前の状態に復旧するためサーバ内のデータを全て削除したものの、バックアップデータを復元できず業務を継続できなくなったことが原因とされています。

Emotet(エモテット)

過去にメールのやり取りをした人からファイルが添付されたメールが届き、その添付ファイルをクリックすることで、自身の連絡先に登録されている宛先に同様のメールを送って感染を広げるサイバー攻撃です。感染すると情報漏えいなどの被害が発生します。
大手企業も情報漏えいの原因としてEmotetに注目しているため、注意が必要なサイバー攻撃です。

中小企業だから大丈夫、は危険

個人情報保護法の改定

企業規模にかかわらず個人情報を保有する全ての企業が対象となる「個人情報保護法」が改定されました。2022年春から執行開始ですが、法定刑の引き上げは2020年12月12日より開始しており、個人情報保護法で最大1億円の罰金が科せられます。もちろんサイバー攻撃による個人情報漏えいも対象です。

アンチウイルスソフトでは全てのサイバー攻撃を防げない

アンチウイルスソフトを導入しているからサイバー攻撃される心配はない、と思っていませんか。実はアンチウイルスソフトだけでは防げないサイバー攻撃も多くあります。それ以外の対策も今後は必要であると認識してください。

基本的なセキュリティ対策を確実に実践しましょう

中小企業でも実践すべきセキュリティ対策は以下の7つです。

1. OS・ソフトウェアアップデートと最新化
2. アンチウイルスソフトの導入と最新化
3. セキュアなブラウザの利用と最新化
4. UTMの利用
5. ルータなど機器のファームウェアアップデート
6. バックアップ
7. 教育

ウェビナーのアーカイブ動画で各項目について解説しています。

サイバー攻撃のデモンストレーションをアーカイブ動画で視聴できます

那須氏のウェビナーはアーカイブ動画で視聴が可能です。ハッキングによるPC乗っ取りやフィッシングサイトでのIDとパスワードの窃取といったサイバー攻撃のデモンストレーションを視聴できます。ハッキングのデモンストレーションでは攻撃者の視点で実演しており、情報漏えいの瞬間を映像で理解することができます。
また、自社のセキュリテレベルを可視化するセキュリティ診断とその具体的なレポート内容の紹介もしていますので、敵(サイバー攻撃)と自分(自社)を知るためにも視聴をおすすめします。