中小企業も狙われるサイバー攻撃、その手口と対策は?セキュリティの専門家が解説

リモートワークやクラウドサービスの活用など、企業のデジタル化が急速に進むなか、企業が持つ顧客情報や機密情報を狙ったサイバー攻撃が問題化しています。サイバー攻撃の標的になるのは大企業だけではありません。セキュリティ対策が弱い中堅・中小企業が意図的に狙われるケースもあります。

セキュリティ対策の重要性が高まっている一方で、「セキュリティ対策を実施する暇がない」「予算を取れない」「そもそも何をすれば良いかわからない」といった理由から、対策を打てていない企業さまもいるのではないでしょうか。

そこで株式会社フューチャーショップは、サイバー攻撃の実態やセキュリティ対策について知っていただくため、「いま、中堅・中小企業のEC経営者が知っておくべきサイバーリスク最新事情」と題するオンラインセミナーを10月21日に開催しました。

スピーカーを務めてくださったのは、中堅・中小企業を対象としたセキュリティ対策の専門家である株式会社CISOの那須慎二さん。サイバー攻撃が増えている理由や、ハッカーが情報を盗み取る手口と対策について、分かりやすく解説してくださいました。

EC企業の経営者や事業責任者、現場の担当者まで幅広い職種の方々にご視聴いただいたオンラインセミナーをレポートします。

スピーカーの株式会社CISO 代表取締役 那須慎二氏(写真左)と、モデレータの株式会社フューチャーショップ 八木智仁(写真右)

スピーカープロフィール 

株式会社CISO 代表取締役  那須 慎二(なす・しんじ) 氏

国内大手情報機器メーカーにてインフラ系SEとして認証系システム、ネットワークセキュリティなどの構築・導入、運用保守経験を経て、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした業績アップ・経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを歴任。「日本にセキュリティのバリアを張り巡らせる」ことをミッションとし、その屋台骨である中堅・中小企業をお護りすることを目的に、セキュリティコンサルティングやメディア出演・セミナー・出版などの実績多数。

企業のデジタル化が進むほどサイバー攻撃も増加

企業がターゲットとなるサイバー攻撃には、さまざまなものがあります。代表的な攻撃の1つが「ランサムウェア」。企業が持つデータを暗号化し、閲覧できないようにした上で、データの復旧と引き換えに身代金を要求します。

それ以外にも、データを盗み取ってダークウェブで販売する手口や、ネットバンキングのログインIDとパスワードを盗み取って不正送金する手口なども頻発しています。

那須さんは中堅・中小企業を含めたすべての企業がセキュリティ対策を強化すべき理由として、IoTやクラウドサービスの普及によって企業のデジタル化が進み、社会全体でサイバー攻撃が発生しやすくなっていることを挙げました。また、新型コロナウイルスの感染が拡大した2020年春以降、セキュリティ対策が未整備のままテレワークを実施している企業のセキュリティリスクにも言及。社員が自宅で使用しているパソコンやWi-Fiの脆弱性をハッカーに狙われることもあると説明しました。

現代は企業のデジタル化やクラウド化が必須になりました。その結果、デジタルデータの価値が高まり、サイバー攻撃も増えています。すべての企業が情報の取り扱いに注意しなければいけません(那須さん)

日本でもサイバー犯罪の件数は増加傾向にあることを説明した

中小企業を狙った「サプライチェーン攻撃」とは?

サイバー攻撃の標的になるのは大企業や有名企業だけではありません。「中小企業が狙われるケースも多い」と那須さんは繰り返し強調しました。

中小企業を狙ったサイバー攻撃の1つが「サプライチェーン攻撃」です。

サプライチェーン攻撃とは、ハッカーが大企業を攻撃する前に、大企業の取引先(下請けなど)や関連子会社を攻撃する手口です。セキュリティ対策が強固な大企業を直接狙うのではなく、まずはセキュリティ対策が脆弱な取引先や関連子会社などのネットワークに侵入します。そして、大企業と取引先がやり取りしたメールの文面や、大企業が下請けに提供した機密資料などを盗み見ることで、間接的にターゲットの情報を抜き取っていきます。中堅・中小企業はサイバー攻撃の踏み台にされるということです。

ハッカーは、セキュリティが弱い中小企業や関連子会社を最初に攻撃し、徐々に本丸へと侵入していきます。サプライチェーン攻撃は、あらかじめターゲットを決めておく「標的型」だけではありません。手当たり次第に中小企業を攻撃し、パソコンなどの端末を乗っ取った上で、価値がありそうな情報を探す「ランダム型」の攻撃も頻発しています。「中小企業だから狙われない」という認識は間違いであり、すべての企業はサイバー攻撃の被害にあう可能性があるのです(那須さん)

 

那須さんは自身の経験を踏まえ、実際にランサムウェアの被害に合ったクライアントとのやり取りに言及しながらサイバー攻撃の手口と被害について具体的に解説した

サイバー攻撃のケーススタディー

那須さんは中小企業がターゲットになったサイバー攻撃のケーススタディーも多数解説してくださいました。例えば、コンピュータウイルスを使わない「ファイルレス攻撃」によって、社内の機密情報が抜き取られた上、データを暗号化されて身代金を要求された事例です。

【マルウェアを仕込まれてパソコンを乗っ取られた企業のケーススタディー】

  1. ある中小企業の社長宛に1通のメールが届いた。そのメールには「履歴書」と書かれた添付ファイルがついていた
  2. 社長は、本物の履歴書と勘違いして添付ファイルをダブルクリックした。しかし、ファイルが開けなかったため、そのまま放置した。このときに、パソコンの操作内容を遠隔で閲覧できるマルウェア(不正な操作を実行するためのソフトウェア)が仕込まれてしまった
  3. ハッカーは長期にわたってパソコン内部の情報を閲覧し、さらに、パソコンを遠隔操作できる状況を作った
  4. 社長のパソコンと同じネットワークにつながった社内の別のパソコンが次々と乗っ取られた。そして、社内の重要ファイルが保存されたサーバがハッカーに特定され、サーバ内のデータを抜き取られた上に、データが暗号化されてしまった
  5. ハッカーは、データの暗号化解除と引き換えに身代金を要求した

このケースでは、社長のパソコンの操作内容や、キーボードの入力内容などがすべてハッカーに筒抜けになっていました。パソコンにはウィルス対策ソフトが入っていましたが、コンピュータウイルスを使わない「ファイルレス攻撃」だったため、ウイルス対策ソフトも反応しなかったそうです。

ハッカーに侵入されていても、被害にあっていることに気づかず、長期にわたり情報を奪われ続けるケースは少なくありません(那須さん)

メール経由でパソコンにマルウェアを仕込まれ、ランサムウェアの被害にあった企業のケーススタディーを解説した

さらに那須さんは、ハッカーがパソコンを乗っ取り、パソコンの操作内容を遠隔で閲覧する方法を実演形式で解説。Windowsに標準搭載されているプログラムを悪用し、パソコンを遠隔操作して情報を抜き取る方法も実演しました。悪用を防ぐため詳細は割愛しますが、「皆さんが思っている以上に、簡単に攻撃できてしまう」(那須さん)ことを印象付ける一幕でした。

パソコンを乗っ取り、遠隔操作で情報を抜き取る方法を実演した 

特に注意すべきは「不審なメールの添付ファイル」と「古いバージョンのブラウザ」

那須さんは、外部からのサイバー攻撃を防ぐ「基本中の基本」の対策として「不審なメールの添付ファイルを開かないこと」と「古いバージョンのブラウザを使わないこと」を挙げました。

①不審なメールの添付ファイル

メールの添付ファイルをダブルクリックしただけで、マルウェアがパソコンにダウンロードされる場合があります。不審なメールの添付ファイルは開かないようにしてください(那須さん)

②古いバージョンのブラウザ

インターネットで何気なくアクセスしたウェブサイトに、マルウェアが仕込まれていることもあります。古いバージョンのブラウザを使用していると、ウェブサイトにアクセスしただけでマルウェアに感染する可能性がありますので、ブラウザは常に最新バージョンにしておくことが重要です。特に、サポートが終了したブラウザを使うのは避けましょう(那須さん)

セキュリティ対策は網羅性が重要

企業に対するサイバー攻撃の手口は多種多様であり、新しい攻撃手法も次々と登場します。

また、外部から攻撃を仕掛けられなくても、社員がパソコンを紛失してID・パスワードが漏えいするといったヒューマンエラーにも注意しなくてはいけません。

那須さんはセキュリティリスクが多岐にわたることを踏まえ、セキュリティ対策で最も重要なことは「網羅的に対策を打つこと」だと強調しました。 

セキュリティ対策は「網羅性」が重要です。セキュリティ対策ソフトを導入するなど技術的な対策だけでなく、会社の組織づくりや社員に対する教育、物理的なセキュリティ対策などを複層的に実施し、セキュリティレベルのボトムアップを図ってください(那須さん)

【複層的なセキュリティ対策の例】

  • OSやソフトウェアのアップデートと最新化
  • ウイルス対策ソフトの導入と最新化
  • セキュアなブラウザの利用、最新化
  • UTMの利用
  • ルータ等の機器のファームウェアアップデート
  • データのバックアップ
  • 社員教育

セキュリティ対策は網羅性が重要であり、さまざまな対策を複層的に実施することが必要だと強調した

質疑応答

セミナーの最後には参加者との質疑応答を実施しました。その一部をご紹介します。

Q1:セキュリティソフトを入れていますが、それ以上の対策は必要でしょうか?

結論から言うと必要です。セキュリティソフトはピンキリなので、そのソフトが「何を守っているのか」を理解した上で、足りない部分を対策する必要があります。(那須さん)

Q2:自社のネットワークを守るにはどうすれば良いでしょうか?

「多層防御」という考え方が重要ですので、エンドポイントやサーバ、クラウド、ネットワーク、物理セキュリティ、ウェブサイトなど、それぞれのレイヤーで対策することが重要です。(那須さん)

Q3:Windowsに標準搭載されているセキュリティソフトよりも、有償のセキュリティソフトの方が優れているのでしょうか?

Windowsの標準ソフトは良いツールですが、私は有償のセキュリティソフトを推奨しています。なぜなら、ハッカーはマルウェアを作ったらまずはWindowsに標準搭載されているセキュリティソフトに引っ掛かるかどうかを確認し、引っ掛からなければそのマルウェアをばら撒くことがあるためです。(那須さん)

まずは実態を知ることが重要

那須さんは、日本企業のセキュリティ対策が遅れていることを示した海外シンクタンクの調査データに言及し、その理由について「多くの日本企業はサイバー被害の実態を正しく理解できていないために、対策を打てていないのが実情だと感じる」と私見を述べました。

日本企業がセキュリティ対策への投資を嫌っているわけではなく、サイバー攻撃の実態が分からないために、手の打ちようがないというのが現実だと感じます。まずは現実を正しく理解することが何よりも大切ではないでしょうか(那須さん)

まとめ

今回のセミナーでは、中堅・中小企業に対するサイバー攻撃の手口は巧妙化しており、わずかな油断からパソコンを乗っ取られ、情報を抜き取られてしまう可能性があることをあらためて痛感しました。

企業のセキュリティ対策は、ウイルス対策ソフトやファイヤーウォールといった技術的なものへの投資だけでなく、不審なメールを開封しないことや、OSやブラウザを最新バージョンに保つなど、1人ひとりの意識も重要です。セミナーにご参加いただいた方は、那須さんが解説してくださったセキュリティ対策を実践し、安全な経営に取り組んでください。

株式会社フューチャーショップは、企業の不正アクセス対策や、ECサイトにおけるクレジットカードの不正決済対策など、セキュリティ関連のセミナーも随時開催しています。今後の開催予定についてはセミナーページで告知しますので、最新情報をチェックしてください。

▶︎株式会社フューチャーショップは各種セミナーを開催しています。最新のセミナー情報はこちらのページで随時更新しています

▶︎SaaS型ECプラットフォーム「futureshop」に関するお問い合わせ・お申し込みはこちらのページをご覧ください

ABOUTこの記事をかいた人

自らもEC業界を学びつつ、みな様のお役に立てれば!と 日々奮闘する中の人です。
記事のご感想をtwitterやFBのコメントでいただけると飛んで喜びます!