ビジネスで使うPCは狙われている

経済産業省の「DX（デジタルトランスフォーメーション）レポート」によると、日本企業がこのまま何もしないと、2025年からは年間12兆円の損失が生じると予測されています。2018年に出たこのレポートを機に、日本でもDXの前段階であるデジタイゼーションとデジタライゼーションが進みつつあります。特に、コロナ禍でテレワークが普及することにより、否が応でもデジタル化を目指す企業が増えました。

PCとインターネットをビジネスで活用する際に注意しなければならないのがセキュリティです。外部から不正アクセスされてしまえば、企業の重要な情報が漏洩してしまいます。

ロシアのウクライナ侵攻の裏では過去最大のサイバー戦争が起きています。お互いの陣営が相手政府のウェブサイトを攻撃して、内容を書き換えたり、アクセスできないようにしています。国際ハッカー集団の「アノニマス」はウクライナの味方をして、ロシア国営放送をハッキングし、ウクライナの現状の映像を流しました。

映画のような話で現実味が薄いでしょうか？　しかし、これは決して対岸の火事ではありません。一般的なビジネスシーンでもサイバー犯罪は当たり前に起きています。

トヨタ自動車は3月1日、国内の全工場の稼働を停止しました。トヨタのサプライチェーンである小島プレス工業がマルウェア（悪意のあるプログラム）に感染したのです。そして、感染拡大を防ぐために、14工場の28ラインを停止させることになりました。

トヨタのネットワークには感染していなかったことがわかり稼働は再開したのですが、3月14日にはトヨタグループの部品メーカーであるデンソーにサイバー攻撃が仕掛けられました。サイバー犯罪集団「パンドラ」が犯行声明を出しており、デンソーのドイツ拠点から内部情報が漏洩したのです。デンソーは2021年12月にはメキシコ拠点でもハッカー集団「ルーク」から攻撃を受けています。

マルウェアに感染すると自社内に広まるだけでなく、関連会社や取引先にまで被害が拡大します。業務システムが止れば納期が遅れたり機会損失が発生します。情報漏洩が起きればブランディングが毀損されますし、取引を停止する顧客も出るでしょう。

今やBCP（事業継続計画）を策定するにあたり、「マルウェア感染や不正侵入による外部攻撃」への対策も定めておく必要があるのです。

サイバー犯罪者は中小企業も狙っている

うちは中小企業だしパソコンには機密情報なんてないから、狙われることはないよ、などと楽観的な考えを聞くこともあります。しかし、そんなことはありません。

PCに感染するマルウェアはインターネットに蔓延しています。特定の誰かを狙うのではなく、何千万通、何億通もの迷惑メールをばらまき、獲物がひっかかるのを待つのです。

感染すると、PCの情報を外部に送信します。取引先とやりとりしたメールや見積書、請求書、従業員リスト、顧客リストなどが漏洩してしまったら大変です。また、マルウェアに感染したPCはマルウェアをばらまきます。そのおかげで親会社や取引先に被害をもたらしてしまったら、取り返しが付きません。

どんなマルウェアにも感染しない方がよいですが、今もっとも注意しなければならないのが「ランサムウェア」です。IPA（情報処理推進機構）は2022年に脅威となりそうな候補をまとめた「情報セキュリティ10大脅威 2022」を発表しており、組織に対する脅威の1位は昨年に引き続き「ランサムウェアによる被害」でした。

情報セキュリティ10大脅威 2022

順位	組織	昨年順位
1位	ランサムウェアによる被害	1位
2位	標的型攻撃による機密情報の窃取	2位
3位	サプライチェーンの弱点を悪用した攻撃	4位
4位	テレワーク等のニューノーマルな働き方を狙った攻撃	3位
5位	内部不正による情報漏えい	6位
6位	脆弱性対策情報の公開に伴う悪用増加	10位
7位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	NEW
8位	ビジネスメール詐欺による金銭被害	5位
9位	予期せぬIT基盤の障害に伴う業務停止	7位
10位	不注意による情報漏えい等の被害	9位

ランサムウェアとは「ランサム（身代金）」とソフトウェアの「ウェア」を合わせた造語です。PCに感染すると、ユーザーデータを外部に送信した後にPC内の全データを暗号化して、持ち主でもアクセスできないようにしてしまうのです。その上で、身代金を要求し、支払えば暗号を解読するコードを送る、と言ってきます。最近は、もし支払わない場合は、盗み出したデータをインターネットに公表すると二重に脅す手口も増えています。

身代金を支払っても元に戻せるとは限りませんし、データが相手の手元にあれば、脅迫のリスクは残ります。企業としては絶対に感染したくないマルウェアと言えるでしょう。マルウェアに感染するとすべてのファイルが暗号化され、脅迫文が表示されます。（画面：筆者撮影）

 

セキュリティのルールをきちんと運用すれば被害は防げる

中小企業でもきちんとセキュリティに気を配りましょう。何も最初からITやセキュリティの専任者を置いたり、高価な機器を購入する必要はありません。社内でセキュリティに関するルールを決めて、きちんと運用するだけでもリスクを大幅に軽減できます。

まずはPCのOSやセキュリティ機能を最新に保つことです。OS標準のセキュリティ機能でもよいですし、市販のセキュリティソフトでもいいのですが、とにかく常に最新の状態にしておく必要があります。企業PCだと、ビジネスで利用しているアプリを確実に動作させるため、セキュリティアップデートを適用したがらないことがあります。これはリスクを上げるだけなので、きちんと適用しなければなりません。

PCだけでなく、ネットワークにつながっているすべてのデバイスも最新情報にしましょう。例えば、NAS（ネットワークハードディスク）やWi-Fiルーターをはじめ、ネットワークカメラなどのIoT機器もサイバー攻撃の対象になるのです。

出所が怪しいファイルはマルウェアの感染源になるので注意が必要です。アプリをインストールする際は必ず信頼できるサイトを利用しましょう。間違っても、有料アプリを無料でダウンロードできる、といった違法サイトを利用してはいけません。また、USBメモリで外部からファイルを持ち込む際も注意が必要です。もし利用する場合は、必ずセキュリティソフトで中身をスキャンするようにしましょう。

メールの添付ファイルもマルウェアの感染経路となります。怪しい添付ファイルは開かないことが重要です。メールの件名やファイルも巧妙に偽装されているので被害が絶えません。請求書や企画書などを装って、圧縮ファイルやOffice文書ファイルを送りつけてくるのです。偶然、請求書を待っているタイミングでそんなメールが来たら、騙されてしまう可能性が高まります。添付ファイルを開く際は細心の注意を払いましょう。

以上の対策だけでも相当にマルウェアの感染確率を抑えられるのですが、万一に備えてバックアップも取っておきましょう。ハードウェアの故障や紛失に備えて、という意味でもバックアップは必ず取っておかなければなりません。

その際に注意したいのが、同じハードウェアに保存するのは意味がないという点です。例えば、CドライブのデータをDドライブにコピーしても、ランサムウェアの被害に遭ってしまえば、同時に暗号化されてしまうのです。外付けHDDやNAS、記録メディア、クラウドストレージなどに保存しますが、その際に重要なのがPCからアクセスできなくしておく、という点です。つなぎっぱなしで同期バックアップなどをしていると、ランサムウェアが暗号化したときにバックアップも被害に遭ってしまいます。

万全を期すのであれば、米国土安全保障省が提唱した「3-2-1ルール」でバックアップすると安心です。守りたいデータは3カ所に保存し、2つの異なるデバイスを利用し、1つは別の場所に保存するというものです。

インターネットには様々なリスクがありますが、中小企業でも自己防衛は必要です。必ずしも高価なハードウェアやソフトウェアを使わなくても、セキュリティを固めることは可能です。くれぐれも、そうは言っても大丈夫だろう、などと楽観的にならないようにしてください。マルウェアの脅威は皆さんの想像より近くまで迫っているのです。

[democracy id=”196″]