突然、会社のパソコンが操作不能になり、プリンターから脅迫文が印刷され続ける。
そんな悪夢のような状況が、実際に中小企業で頻発していることをご存じですか?ランサムウェアは、これまで大企業だけが狙われると思われてきましたが、最近ではセキュリティが手薄な中小企業が格好のターゲットとなっています。
「自分たちの会社は規模が小さいから、狙われることはない」。そう思っていませんか?実は、それこそが犯罪者に付け込まれる最大の弱点です。
この記事では、ランサムウェアの具体的な手口から、中小企業が取るべき実践的な対策までわかりやすく解説します。
ランサムウェアとは
ランサムウェアは、コンピュータやネットワーク上のデータを暗号化し、元に戻すための「鍵」を引き換えに金銭を要求するマルウェアの一種です。
主な流れは以下のとおりです。
- フィッシングメールや悪意あるリンクを利用してランサムウェアをシステム内に侵入させる
- ファイルなどを暗号化し、アクセスできない状況にする
- ビットコインなど追跡が困難なデジタル通貨での身代金支払いを求める
注意点は、身代金を支払ったからといって、必ずしも暗号化解除がされるわけではないということ。実際に復号化キーが渡されないケースが増えています。
ランサムウェア攻撃は、攻撃者にとって高い収益性を持つ一方で、被害者に甚大な被害をもたらします。
データで見る中小企業のランサムウェア被害状況
日本国内でも、中小企業がランサムウェアの主要な標的となっている実態が明らかになっています。警察庁の報告によれば、日本国内で確認されたランサムウェア攻撃の件数が197件に上り、その半数以上が中小企業であったと報告されています。
また、業界別にみると、製造業の被害が最も多く、次いで卸売・小売業、サービス業が被害を受けています。これらの業種は、業務のデジタル化が進んでいる一方で、セキュリティ対策が十分でない場合が多く、攻撃者に狙われやすい状況にあるようです。
さらに、感染経路としては、VPN機器が63%、リモートデスクトップが18%を占めており、これらの経路を通じた攻撃が全体の81%を占めています。
このデータから、日本国内の中小企業がランサムウェアの主要な標的となっており、特に製造業やリモートワークを利用する企業が高いリスクにさらされていることが明らかです。
中小企業がランサムウェアの標的となる理由
それでは、なぜ中小企業が標的になるのでしょうか。ここでは、その4つの理由を整理してみます。
セキュリティ対策の不備
中小企業では、大企業のような高度なセキュリティ対策を施すための予算や人材が不足しているケースが多く見られます。たとえば、サイバーセキュリティに関する投資額が限られることで、次のような課題が生じます。
- 最新のセキュリティソフトウェアの導入が遅れる
- セキュリティポリシーの策定不足
- 従業員の意識不足
セキュリティ対策が手薄なため、サイバー攻撃者にとって格好の標的となっているわけです。
大企業への攻撃の起点として利用される
中小企業を起点に大企業を狙うサイバー攻撃も増加しています。特に製造業は、大企業との取引や連携が多いことから、サプライチェーン攻撃の「踏み台」として狙われることが少なくありません。
大企業は強固なセキュリティ体制を構築しているため、容易に突破することはできません。失敗確率の方が高いでしょう。しかし、中小企業は違います。
攻撃者はまず中小企業の弱いセキュリティ環境を突破し、そこから大企業のネットワークへと侵入するわけです。
ITリソースや専門知識の不足
中小企業の多くは、IT部門の規模が小さい、または専任の担当者がいない状況に直面しています。このため、攻撃の兆候を発見することや、発生後に迅速な対応を取ることが難しいです。
特に、外部からの攻撃をリアルタイムで検知する能力が低い企業では、ランサムウェアがシステム全体に感染するまで気づかないケースもあります。
脆弱性の多いシステム環境
中小企業は、古いシステムを使い続けていることが少なくありません。
たとえば、サポートが終了したWindows 7やWindows XPを依然として使用している企業は、攻撃者にとって格好の標的です。これらのシステムは新しい脆弱性の修正が行われないため、攻撃に対する防御力が著しく低いです。
加えて、複雑なネットワーク環境が管理されずに放置されることで、どこに脆弱性があるのかを把握できていない企業も多いです。このような環境では、攻撃者が容易にアクセスできる入口が複数存在することになります。
身代金要求に応じやすい特性
中小企業は、大企業に比べてランサムウェア攻撃に対し、身代金要求に応じやすい傾向があると言われています。攻撃者は、中小企業が直面する業務停止や顧客データ喪失の深刻な影響を熟知し、その焦りやプレッシャーにつけ込むのです。
特に、業務継続のためのデータバックアップが十分でない企業では、「身代金を支払うことが最も早い解決策」と考えがちです。しかし、その心理がサイバー犯罪を助長する結果にもなり得ます。実際、身代金を支払ったにもかかわらず、データの暗号化が解除されなかったり、二重に要求されたりするケースも少なくありません。
そのため、どのような状況であっても、基本的に身代金を支払わないことが推奨されます。
中小企業がランサムウェア対策をしないリスク
ランサムウェアの被害を受けると、金銭的リスク、業務停止、顧客からの信頼を失うなどのリスクをもたらします。ここからは、4つのリスクを見ていきましょう。
経済的損失の増大
ランサムウェア攻撃を受けた企業は、多大な経済的損失を被るリスクがあります。
最も顕著なのは、暗号化されたデータを回復し業務を再開するために支払う身代金です。しかし、それだけでは終わりません。
警察庁の報告によれば、ランサムウェア被害を受けた国内企業のうち、調査や復旧に1,000万円以上の費用がかかったと回答した企業が37%に上ることが明らかになっています。この金額は、中小企業にとって事業継続を脅かす致命的な打撃となる可能性があります。
さらに、ランサムウェアによる業務停止が、経済的損失を一層深刻なものにします。業務が停止することで収益が途絶えるだけでなく、顧客との信頼関係にも悪影響を及ぼします。
また、データ復旧作業やセキュリティ対策の強化には追加のコストが発生し、損失は雪だるま式に増大します。
これらの損失は、ランサムウェア攻撃が単なる技術的な問題にとどまらず、企業の経営基盤そのものを揺るがす問題であることを示しています。
信用喪失による顧客離れ
ランサムウェア攻撃によって顧客の個人情報や機密データが流出すると、企業の信用は著しく損なわれます。
この信用喪失は、顧客離れを引き起こし、収益に直接的な打撃を与える深刻な結果を招きます。特に、顧客が安全性を重視する業界では、セキュリティ対策が不十分な企業との関係を見直す動きが加速し、契約の打ち切りや新規契約の減少につながる可能性があります。
BtoBビジネスでは、この影響がさらに顕著です。
取引先企業は、セキュリティ意識が低い企業と協力することで、自社のブランドや顧客への信頼を損なうリスクを避けようとするためです。その結果、長期的には既存顧客の離脱、新規契約の減少といった形で、事業全体の収益基盤に深刻なダメージを与えることになります。
信用を失うことは、攻撃そのもの以上に企業経営に影響を及ぼす可能性があります。そのため、ランサムウェア対策は単なるセキュリティ強化だけでなく、企業のブランド価値や顧客との信頼関係を守るための重要な投資であると言えるでしょう。
法的リスクの可能性
ランサムウェアによるデータ漏洩や業務停止は、法律的なリスクも伴います。
日本では、個人情報保護法や金融商品取引法など、データ管理やセキュリティに関する法規制が年々強化されています。これらの規制に違反した場合、企業は罰金や制裁を受ける対象になるのです。
また、データ漏洩に関与した顧客や取引先から損害賠償請求を受けるケースもあり得ます。
事業継続への深刻な影響
ランサムウェア攻撃がもたらす経済的損失や顧客離れは、中小企業の事業そのものの存続を脅かす深刻な問題です。特に、バックアップ体制が不十分な企業では、暗号化されたデータを取り戻す手段がなく、業務再開が完全に不可能な状態に追い込まれるリスクがあります。
業務が停止することで発生する収益の途絶だけでなく、顧客との取引機会を失うことで、企業の信頼と市場での競争力も大きく損なわれます。また、復旧作業やセキュリティ対策の強化に多額のコストを要するため、経済的な打撃がさらに拡大する可能性があります。
事業継続を守るためには、ランサムウェア攻撃の脅威を軽視せず、データバックアップの強化やインシデント発生時の明確な対応計画を整備することが欠かせません。こうした対策が企業の存続における命綱となり得るのです。
中小企業を狙ったランサムウェア攻撃の事例
ランサムウェア攻撃の理解を深めてきたものの、なかなか被害イメージがつかないという方もいるでしょう。そこでここからは、中小企業を狙ったランサムウェア攻撃の事例をご紹介します。
150万件の顧客データが流出┃イセトーが受けたランサムウェア攻撃の影響
全国の自治体や企業を顧客に持つ印刷業務請負企業、イセトーは、2024年5月にランサムウェア攻撃を受けたことを公表しました。
翌月、ハッカー集団「8Base(エイトベース)」が犯行声明を発表し、盗み出したデータの一部を公開。イセトーの調査により、公開された情報が同社の社内データから流出したものであることが判明しました。
この攻撃により、自治体や企業の個人情報、顧客情報を含む少なくとも150万件以上のデータが漏えいした可能性が浮上しています。
流出した情報には、具体的にどのようなデータが含まれているのかは明らかにされていませんが、被害の影響範囲が広がることが懸念されています。自治体が保有する市民情報や企業の重要な業務データが含まれる場合、その社会的インパクトは計り知れません。
この事件は、情報セキュリティの重要性を改めて浮き彫りにしました。特に、大量の顧客情報を取り扱う企業にとって、サイバー攻撃への備えは避けて通れない課題であることを強く印象付けています。
業務のほとんどが停止する事態に陥る、ランサムウェアが引き起こした深刻な被害
2022年、秋田県建設・工業技術センターは、外部からの不正アクセスにより業務用サーバーがランサムウェアに感染し、データが暗号化される被害を受けました。
異変が発覚したのは4月12日午前7時、職員が勤怠システムにログインできなかったことがきっかけでした。調査を進めた結果、サーバーへのアクセスが完全に遮断されていることが判明。
同時に、プリンターから大量に排出されたA3用紙には、URLとともに「ファイルを暗号化した。解除したければ、このサイトにアクセスして身代金を払え」と英文で記されていました。
同日午前中、佐藤和義理事長は「身代金は支払わない」との決断を下します。その理由は、顧客が自治体であることから、税金を犯罪集団に渡すわけにはいかないという信念に基づくものでした。
この決断の結果、センター内の6台のサーバーすべてが暗号化されたままとなり、さらに作業用パソコンや職員の業務用パソコンもウイルス感染の疑いから使用を停止しました。さらに、ネットワークの遮断により、メールシステムも使用不能となり、自治体対応を含むほとんどの業務が停止する事態に陥りました。
リソースの少ない中小企業が今すぐ行うべきランサムウェア対策
ランサムウェア攻撃の危険性を理解しても、リソースの限られた中小企業では、なかなか対策に移せないのが現状ではないでしょうか。そこでここからは、大きな費用や人的リソースがかからないランサムウェア対策をご紹介します。
データのバックアップを取る
ランサムウェアの被害を最小限に抑えるために、まず取り組むべきはデータのバックアップです。定期的にバックアップを取っておけば、仮にデータが暗号化されても、業務への影響を最小限にとどめることができます。
特に重要なのは、オフラインバックアップの実施です。
ランサムウェアはネットワーク上のデータだけでなく、オンライン上に保存されたバックアップデータにも感染するリスクがあります。このため、外部ハードディスクやテープドライブなど、インターネットから完全に切り離された環境にデータを定期的に保存することが効果的です。
さらに、バックアップが有効かどうかを確認するためには、リストアテストを定期的に行う必要があります。このテストにより、攻撃時に確実にデータを復元できることを事前に確認でき、業務再開までの時間を大幅に短縮できます。
データのバックアップは、ランサムウェア攻撃を受けた際の「最後の砦」となる対策です。日常的にバックアップを実施し、非常時に備えた体制を整えましょう。
システム更新の徹底
ランサムウェア攻撃の多くは、既知の脆弱性を悪用して行われます。そのため、システムやソフトウェアを常に最新の状態に保つことが、攻撃リスクを大幅に減少させる鍵となります。
最新のセキュリティパッチを迅速に適用することで、攻撃者が侵入する隙を作らないことが重要です。
特に注意すべきは、メーカーのサポートが終了した古いシステムの使用です。これらのシステムは脆弱性が修正されないため、攻撃者の標的になりやすくなります。サポート外のバージョンを使用している場合は、速やかにサポート対象の最新バージョンに移行しましょう。
また、セキュリティ更新の漏れを防ぐため、自動更新設定を有効化するのがおすすめです。これにより、手間を省きながら、常に最新のセキュリティ対策を維持することができます。
システム更新を徹底することは、最小限のコストで実現できる効果的なランサムウェア対策です。
多要素認証の導入
不正アクセスの多くは、従業員による弱いパスワードや使い回しパスワードが原因で発生します。この問題を解決する効果的な方法が、多要素認証(MFA)の導入です。
多要素認証を導入すれば、「知識(パスワード)」に加えて「所持(デバイス)」「生体認証」など複数の認証要素を組み合わせるため、攻撃者がシステムに侵入する難易度を飛躍的に高められます。
特に、管理者アカウントや、外部からのリモートアクセスが必要なシステムには、多要素認証の適用を最優先すべきです。これらのアカウントやシステムは、攻撃者に狙われやすい上、侵害された場合の被害範囲が広がる可能性が高いためです。
さらに、多要素認証を活用することで、従業員が強力なパスワードを使わなかった場合のリスクも軽減できます。MFAの導入は、初期設定に多少の手間がかかるものの、運用開始後は安全性を確保しながら効率的な運用が可能になります。
アクセス制御の実施
すべての従業員が全てのデータやシステムにアクセスできる状態は、セキュリティリスクを高めるだけでなく、攻撃が成功した際に被害範囲を広げてしまう危険があります。このリスクを防ぐために、アクセス制御を徹底することが重要です。
まず、従業員ごとに業務に必要な範囲だけのアクセス権限を付与し、それ以外のデータやシステムへのアクセスを制限しましょう。この「最小権限の原則」によって、攻撃が発生した際にも被害が局所化されます。
また、不要なアカウントや権限は定期的に見直し、削除することで、不要なリスクを排除することが可能です。
アクセス制御はシンプルながら効果的なセキュリティ対策です。これを徹底することで、攻撃を受けた場合の被害を最小限に抑え、企業全体のセキュリティレベルが高まります。
従業員トレーニング
多くのランサムウェア感染は、従業員が誤ってフィッシングメールの添付ファイルを開いたり、不審なリンクをクリックしたりすることで発生します。
これを防ぐため、従業員に対して不審なメールの特徴や安全な操作方法を教育し、セキュリティ意識を高める取り組みを行うべきです。また、定期的な演習やシミュレーションを通じて、実際の攻撃に対する準備を整えることも有効です。
定期的なダークウェブ監視
ダークウェブは、通常の方法ではアクセスできない匿名性の高いインターネット領域で、サイバー犯罪者が機密情報を売買する温床となっています。
ランサムウェア攻撃などで盗まれた従業員のアカウント情報がダークウェブで流通すると、不正アクセスやなりすましといった新たなサイバー攻撃が引き起こされるリスクがあります。また、顧客情報が漏洩すれば、企業の信頼は大きく損なわれ、訴訟や賠償請求といった経済的リスクが発生する恐れもあります。
このようなリスクに備えるため、定期的なダークウェブ監視を行う仕組みの構築が重要です。監視を通じて、万が一自社や顧客の情報が漏洩していることが発覚すれば、迅速な対応によって被害拡大を防ぐことが可能です。
その際、インシデントレスポンス計画をあらかじめ策定しておくことで、より効果的に対応できます。この計画には、初動対応の手順、関係者への迅速な情報共有、外部の専門機関との連携方法などを明確に定めておくと良いでしょう。
まとめ
中小企業がランサムウェアの標的となりやすい理由は、セキュリティ体制の脆弱さにあります。
多くの中小企業は予算や専門知識が限られており、結果としてサイバー攻撃に対する防御が十分でないケースが多いのが実情です。さらに、攻撃を受けた際に身代金を支払う傾向があることも、犯罪者にとって魅力的な一因となっています。
リソースに限りがある中小企業にとって、万全なセキュリティ対策を講じることは難しいかもしれません。しかし、データの定期的なバックアップの取得、アクセス権限の管理、多要素認証の導入といった基本的な対策は比較的容易に実施できます。これらを確実に実行するだけでも、ランサムウェア攻撃による被害を大幅に軽減することが可能です。
また、サイバー攻撃を完全に防ぐことは現実的には困難です。そのため、被害を最小限に抑えるための準備も重要です。
当社が提供するダークウェブ監視サービス「ZeroDarkWeb」は、シンプルで使いやすい操作性を備え、ダークウェブ上での情報漏洩状況を容易に把握できます。定期的な監視を通じて、万が一の流出情報を早期に発見し、迅速な対応を可能にします。
まずは、無料デモをお試しいただき、貴社の情報流出リスクを具体的に確認してみてはいかがでしょうか。下記フォームよりお気軽にお申し込みください。
弊社はダークウェブ調査(無料)を実施しています。
こちらからお申し込みください。
