2022年9月9日

サイバー攻撃の「加害者」にならないための対策とは?

目次

Contents

■被害者なのに加害者?

情報セキュリティインシデントや事故は会社の規模を問わず中小企業であっても常に危険がつきまといます。セキュリティが堅牢な大企業を攻撃するには時間もコストもかかるため、セキュリティが脆弱な中小企業に攻撃を仕掛ける事例が増えております。攻撃を受けた結果として被害者でありながら加害者となり取引先に大損害を与えてしまうという事象に発展するケースも少なくありません。「サプライチェーン攻撃」はむしろ中小企業のほうが狙われやすいということを認識し、知らぬ間に加害者にならないように対策する必要があります。

■事故事例

1. 三菱電機
2020年、三菱電機が外部から不正アクセスを受け、企業機密情報および個人顧客情報を漏洩しています。原因は中国の同社関連子会社からのサプライチェーン攻撃で、攻撃者はまずセキュリティ対策が脆弱な関連子会社に入り込み、そこを踏み台として親会社である三菱電機を狙いました。つい最近ではトヨタでも似たような事故がありました。

2. オリエンタルコンサルタンツ
2021年、建設コンサルタント業のオリエンタルコンサルタンツは外部から同社サーバーに対しランサムウェアによる攻撃を受け、東京都や市川市など、同社に委託していた都市計画・設計、機密情報等が漏出しています。サイバー攻撃に関する調査、対応、再設計費用として同社は7.5億円の特別損失を計上。

こうした中小企業を起点として起きた事例は氷山の一角であり、「建設」「製造業」といった一見サイバー攻撃と縁遠そうな業種においてもインシデントや事故は起こりうるということです。

■中小企業の経営者・セキュリティ担当者の誤った認識

情報セキュリティインシデントや事故は今や一般的なリスクであるにも関わらず、中小企業経営者や担当者の多くはまだまだ縁遠いものと感じているのが実態です。

1.「うちみたいな小さな企業が狙われるわけない」
前述の事故事例にもある「サプライチェーン攻撃」はセキュリティが脆弱な中小企業を踏み台として大企業を狙うという攻撃です。大企業がサプライチェーン攻撃によって被害を受けた場合、事故の発端となる元請企業や関連会社に対し、多額の賠償請求や調査請求が行われます。中小企業だからといって、インシデントが起きない、サイバー攻撃を受けないということは決してありません。この「サプライチェーン攻撃」が主流になりつつあるからです。

2.「うちは個人情報を取り扱わないから大丈夫」
個人情報を持たないのであれば自社における情報漏えいリスクは低いといえるかもしれませんが、取引先に大企業や大口顧客がある場合、前述の「サプライチェーン攻撃」を受け、知らぬ間に自社が起点となって取引先にサイバー攻撃をしかけられ、被害を与える可能性があります。たとえ個人情報を取り扱っていない企業でもセキュリティ対策を行う必要があります。

3.「身近に情報インシデントや事故に遭遇した企業が無い」
情報セキュリティインシデントや事故があったと、自ら周囲にアナウンスする企業は存在しますが、すべての企業が100%公開しているとは考えにくいです。アナウンスしてしまうことで大きな損失を生むと同時に、信用問題に繋がる新たなリスクを発生させてしまうので、できればインシデントの公開は避けたいと考えるのが、一般的ではないでしょうか。

4.「うちはウイルスソフトをいれているから大丈夫」
サイバー攻撃を防ぐウイルスソフトは主要対策の一つですが、これだけでサイバー攻撃を防げるものではありません。なぜなら新たなサイバーウイルスは日々無数に生み出されていて、これらに対応したシグネチャを開発するだけで少なくとも半年から1年はかかるからです。ウイルスソフトだけではセキュリティ対策は不十分なのです。

5.「うちは怪しいサイトにいかないから大丈夫」
前回のブログでもお伝えしたとおり、フィッシング詐欺や銀行のネットバンキング、Amazon・楽天等のECサイトを装った悪質サイトなど情報セキュリティインシデントや事故が頻発しています。「怪しいメールの開封や不要なサイトに訪問しない」など社内徹底していたとしても、日常と同じルーチンでメインのネットバンキングから入金しようとしたところ、実は全く同様のネットバンキングを装った悪質サイトだったことに気づかず、会社のIDやパスワードが抜き取られ、多額の資金をだまし取られるという事例も発生しています。

■知らぬ間に加害者なのか?

あなたの会社は被害者なのに実は既に加害者になっているのかもしれません。前述の客観的情報を踏まえ事実を冷静に判断し「うちは大丈夫だろう」と慢心せずに万全の対策を講じることが重要です。
これらを踏まえた、弊社のセキュリティ関連サービスを以下に紹介しますのでご参照ください。

<弊社サービス紹介>
・「OSプロテクト型」のアンチウィルスソフト
 シグネチャに依存しないエンドポイントセキュリティ
 AppGuard

・ネットワークセキュリティ
 CatoCloud

 2つのサービスを併用いただくことにより強固なセキュリティ対策が可能になります。

記事 : H.S

「再春館システム セキュリティソリューション」はこちら