IPA（独立行政法人情報処理推進機構）では毎年、情報セキュリティ10大脅威と称して影響が大きかったと考えられる脅威を順位付けして公表しています。こちらでは様々なサイバー攻撃を確認できますが、昨今では新聞やテレビなどのニュースでもこのような情報を見る機会が増えてきました。

サイバー攻撃に関連するニュースが、主に知名度の高い企業に対するものが多いこともあって「中小企業は攻撃対象にならない」といったイメージを持つ方も少なくありません。中小企業経営者を対象としたある調査では、約半数がサイバー攻撃の対象とならないだろうと回答しています。

しかしこの考えは非常に危険です。「中小企業は攻撃対象になり得ます。」

悪意のある攻撃者は計画段階において、情報資産を多く保有している大手企業を攻撃対象として視野に入れるでしょう。一方、大手企業は狙われる可能性が高い事を想定して、セキュリティを強固にしています。これは高いスキルを持つ攻撃者でも簡単に破れるものではありません。

そこで攻撃者は、大手企業と取引をしている中小企業にスポットを当てます。大手企業を直接狙うよりも、セキュリティ対策の甘い中小企業へ攻撃し、そこから大手企業へ侵入する方が効率的だからです。

例えば攻撃者が中小企業へ侵入後、内部情報を盗み出したとします。内部情報には中小企業に属する従業員の情報はもとより、取引先大手企業の情報(担当者やメールアドレス、過去のやり取り等)が含まれています。情報をすべて握った攻撃者が、中小企業を騙り、企業間であたかも重要な資料に見せかけてメールを作成するのは簡単です。

取引のある者からメールが届いた時、またそれが重要なものであるように見えた時、大手企業側の社員は何の疑いもなく添付されたファイルを開いてしまうでしょう。メールに添付されたファイルはマルウェアであり、大手企業社員の端末は感染、外部からこの端末を制御できる状態となってしまいます。

大手企業への侵入経路を確保する事に成功した攻撃者は、そこから更に感染を広げ、機密情報を盗み出していくのです。

情報漏えいがニュースや紙面で公開された時、信用の失墜、説明対応、再発防止策、損害賠償、ブランド力の低下、株価暴落等、大手企業は多くのものを失ってしまいます。侵入の糸口となってしまった中小企業も、大手企業との信頼関係はマイナスとなり、取引を停止される可能性は高いでしょう。信用と信頼の積み重ねは膨大な時間がかかるが、失うのは一瞬で、セキュリティ対策を怠った結果がもたらす被害や影響は甚大です。

ご紹介したのはあくまでも考えられる一例ではありますが、中小企業がサイバー攻撃の対象となっていることを理解し、脅威がもたらす結末を考え、セキュリティが重要であることは強く意識していかなければなりません。

■情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html

■サイバーリスク意識調査2019
https://www.sonpo.or.jp/cyber-hoken/data/2019-01/pdf/cyber_report2019.pdf