なぜ中堅中小企業が狙われるのか? ~7つの弱点からその特徴と傾向を分析する 第1回

中堅中小企業がなぜ狙われるのか? 企業が抱える7つの弱点から、その特徴と傾向を分析し、具体的な対策方法を提案します。

中堅中小企業が狙われている現実

サイバーセキュリティを扱う題材の多くは「標的型攻撃」を中心に据えて話が展開されます。この攻撃のターゲットとなるのは、大企業の情報システムや金融系システムです。この数年間で、サイバーセキュリティは大企業にとって最優先すべき経営課題となり、ターゲットとなっている大企業のシステムは莫大な投資をかけ、システムを以前より強固にしました。

こういった時流をふまえ、攻撃者たちの一部は、より成功率の高い獲物を求めて、現在、セキュリティガバナンスの弱い中堅中小企業に的を絞り始めました。

本ブログでは、中堅中小企業の情報システム部の担当者や経営者向けに、企業を狙った攻撃手法の紹介と企業の抱える課題、具体的な対策を連載形式で紹介していきます。

なぜ中堅中小企業がターゲットになっているのか?

昨今、中堅中小企業がターゲットになっています。それは3つの時代の変化が影響しています。

まず1点目の変化は、攻撃者の「目的」です。

昔、ハッカーの攻撃動機で一番大きかったのは、ハクティズムという、政治的な意思表示や政治目的の意思表示でした。大儀に基づいて攻撃をしていたハッカーが多い時代は、中堅中小企業には目もくれませんでした。しかし、時代が変化し、今、攻撃者の1番の動機は、完全に「お金」に変化しています。攻撃の目的が「お金」に変化したことで、攻撃者は攻撃対象のレベルが下がったとしても、広範囲に獲物を捕らえることで、量で勝負する薄利多売ビジネスに切り替えてきています。

2点目の変化は、「仮想通貨の発展」。

仮想通貨の発展により、国際間取引が飛躍的に便利になりました。下記はある有名なハッキンググループのビットコイン口座です。総受領額は10.98603623 BTC(1300万円程度2019年7月3日現在)となっています。面倒な手続きが必要なく国境を簡単に飛び越えるこの金融システムは、ハッカーとの親和性が高く、現在すべての送金は仮想通貨を介して行われるようになっています。

攻撃者の手口は、広くユーザーを騙して詐欺サイトへ誘導する必要がでてきました。これを実現するのが、「ばらまき型メール」です。下図は、2018年の警察庁の資料ですが、この5年間で、ばらまき型メール詐欺が実に25倍も増加しています。

(「ばらまき型」の定義ですが、警視庁では同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃を「ばらまき型」と定義しています。)

そして3点目の変化は、「攻撃の相手先」です。

2019年8月16日、米国で地方を狙うランサムウェアの一斉攻撃が発生した事件をご存知でしょうか?

テキサス州には自治体が1,216組織存在します。その中で22の自治体が同一の攻撃元からの一斉攻撃を受けました。ランサムウェアにより、コンピュータシステムを人質に身代金を要求されたのです。被害を受けた自治体のほとんどが小規模の組織でした。総額250万ドル(約2億7500万円)の身代金要求をされています。 これにより、行政の一部、金融関連業務、水道、警察、消防、公共図書館のサービスに影響が出た。

これは、高度に組織化されたチームが、高度化されていないチームを攻撃する典型的な例です。

ランサムウェアの攻撃を伝えるテキサス州行政府のサイト
dir.texas.gov/View-About-DIR/Article-Detail.aspx

攻撃者の傾向はまずは大手の金融機関、政府系を攻撃します。慌てて大手が防御を整え、攻撃が成功しなくなったことを確認すると、全く同じ攻撃を防御の弱い町の自治体や民間企業への攻撃に移行する傾向が顕著に見られます。

中堅中小企業の弱点とは?

これまで中堅中小企業が狙われ、攻撃が増加している事実とその背景を説明してきました。

このような現状に対して、中堅中小企業の管理者はどのような対策を講じる必要があるでしょうか?
それにはまず、中堅中小企業の弱点を知る必要があります。私が調査したところ、7つの弱点を見つけることができました。

  1. セキュリティが脆弱である
  2. 人間がセキュリティホールである
  3. 攻撃に気づかない可能性が高い
  4. セキュリティシステムが古い
  5. 物理セキュリティが存在しない
  6. 実は重要資産が存在する
  7. サプライチェーンリスク

次回からは、各弱点についての詳細とその対策について解説していきます。

中堅中小企業向けブログ 記事一覧