日々、企業の経営者様やITシステム担当者様と面談をしていると、
「うちはセキュリティ大丈夫」というフレーズをよくうかがいます。
何か対策をされているのですか?とお聞きすると、
いや、だって
・小さい会社だしこんな田舎の会社が狙われないよ。
・インターネットバンキングが被害を受けても、銀行が何とかしてくれるでしょ。
・アンチウィルスソフトを入れているから、うちは大丈夫。
・変なサイトには行かないから、問題ない。
・盗まれて困るような情報は持っていないから大丈夫。
・実際に知り合いがサイバー攻撃で『やられた!』なんて聞かないから。
・パソコン苦手だし、わからないから現場担当者に任せている。
・いざとなればインターネットなんか使わなければいい。
というお返事。
こういったお考えの企業経営者様が近年、大量発生しています。
セキュリティ対策のプロとして見過ごせない事態となっておりますので、
今回「うちはセキュリティ大丈夫」が結論、大丈夫じゃない話(理由)をお伝えすることにしました。
正直、サイバーセキュリティ対策を推進するネットワークエンジニアとして非常に危機感を感じております。
熱量高めにお伝えしてしまうかもしれません。
熱中症にご注意ください。
冷たい飲み物片手にお読みいただければ幸いです。
「うちはセキュリティ大丈夫、だって小さい会社だしこんな田舎の会社が狙われないよ」
結論
【攻撃する側からすれば相手の会社が小さいか田舎かなんて分かりません。そもそも分からなくても問題なく攻撃できます】
詳しく解説していきましょう。
まず、サイバー攻撃をする攻撃者は、どこに住んでいる誰なのでしょうか。
攻撃者は、ロシアや中国、中東、ヨーロッパなど世界中のブラックハッカー(悪意のある攻撃者)です。
彼らは、日本に来たこともないですし、ましてや栃木県や宇都宮市といった地域名すら知らないでしょう。
日本語も読めない可能性が高いです。
だったら大丈夫でしょう。
そう考えるのは危険です。
今やインターネットを通じて、世界中あらゆる国や地域が一瞬で繋がることができます。
攻撃者が日本語を知らなくても、あなたの会社を知らなくても攻撃することは可能なのです。
職場のパソコンに不審なメールが届いたことはありませんか?
使ってもいない銀行のパスワード変更通知だったり、配送会社の不在通知のメールだったり。
そうしたメールが届いているのであれば、攻撃されているという認識を持った方が良いです。
攻撃する側は、殆どの場合わざわざターゲットを1社1社調べることはしません。
何らかの方法(例えばダークウェブで買うなど)でメールアドレスのリストを手に入れた後は、
プログラムが何百、何千、何万というターゲットリストに向けてビジネスでDM(ダイレクトメール)を送るのと同じ感覚でウイルス付メールをばら撒いているだけなのです。
よって、小さい会社かどうか、田舎の会社かどうかなんて関係ありません。
次に何故、攻撃者はそのようなことをするのでしょうか?
目的は大きく3つあります。
1つ目。最近は少なくなりましたが、世間を騒がせてやろうとか、自分の力を示してやろうといった”愉快犯”です。
2つ目。国家間や企業間の争い。
3つ目。全体の8割を占める金銭目的です。
パソコンを乗っ取り情報を盗む(不正送金)、データを暗号化し金銭を要求する(ランサムウェア)、社内の他パソコンや取引先などに感染を広げるための踏み台にする(踏み台攻撃)等、セキュリティを突破出来さえすればいろいろな悪さが出来てしまいます。
個人事業や中小零細企業であっても、セキュリティが弱いことで攻撃者に付け入る隙を与えることは危険だという認識を持ちましょう。
「うちは大丈夫、だってインターネットバンキングが被害を受けても、銀行が何とかしてくれるでしょ」
結論
【被害に遭った企業のセキュリティが弱かったことでウイルス感染・不正送金被害に遭ったと銀行に判断されれば利用者の責任となる可能性が大きい】
インターネットバンキングを利用されている企業がウイルス感染や不正送金の被害に遭うケースは少なくありません。
被害に遭った企業は、
「不正送金被害にあっても、ネットバンキングを使っていて被害に遭ったのだから銀行の責任でしょ!」
「銀行が助けてくれるよ!預金者保護法だってあるよ!」
と訴えます。
しかし、預金者保護法は法人には適用されません。
法律では守って貰えないので被害額を補填して貰えるかどうかは銀行の判断次第になります。
判断の基準は利用者に原因があるかどうか。
つまり、利用者のセキュリティが弱かったことでウイルス感染・不正送金被害に遭ったとなれば、銀行側も利用者の責任と判断する可能性が大きいのです。
「うちは大丈夫、だってアンチウイルスソフトを入れているから」
結論
【アンチウイルスソフトは絶対に必要なものではありますが、それを入れていれば安心というわけではありません】
世界中で1秒間に5個の新しいウイルスが作成されていると言われています。
アンチウイルスソフト(ウイルス対策ソフト)を入れているけれども感染してしまった、という事例は山ほどあります。
毎秒作られる新しいウイルスから自社を守るためには、アンチウイルスソフトだけでは非常に手薄なセキュリティ状態と言えます。
更なるセキュリティ対策、セキュリティリテラシーが必要です。
アンチウイルスソフト(セキュリティ対策ソフト)について詳しくは、こちらのコラムで解説しております。
【セキュリティソフトとUTMは、どちらかが入っていればいいのか?】
「うちは大丈夫、だって変なサイトには行かないから、問題ない」
結論
【普通に仕事をしているだけでもウイルス感染する可能性があります】
変なサイトに行かなくても、普通に仕事しているだけでもウイルス感染や情報漏洩してしまいます。
例えば、出張のために空港公式サイトでフライト情報を確認する場面。
この本物の公式サイト内の一部ページが第三者によって改ざんされ、閲覧者を悪質な外部サイトへ誘導する事態が発生したことがあります!
サイバー攻撃者は、巧妙にホームページを偽造してウイルスを感染させる悪意あるサイトに飛ばそうと仕組んでいるのです。
つまり、普通に仕事をしているだけでもウイルスに感染したり、個人情報を盗まれてしまったりすることが普通に起きているということです。
参考:成田国際空港株式会社「弊社ホームページ改ざんに関するお詫びと復旧のご報告」
https://www.narita-airport.jp/jp/news/150305/
「うちは大丈夫、盗まれて困るような情報は持っていないから」
結論
【踏み台攻撃(PCを乗っ取られ取引先等への攻撃に利用される)可能性があります】
攻撃する側から見たら、セキュリティが弱い企業はターゲットにし易い相手です。
ご自身の会社内には盗まれて困るような情報やデータがない場合でも、他社への攻撃をするために踏み台として悪用される可能性があります。
踏み台攻撃の標的となり、PCを乗っ取られ取引先等への攻撃に利用されてしまったら、関係ないでは済まされません。
「うちは大丈夫、だって実際に知り合いがサイバー攻撃で『やられた!』なんて聞かないから」
結論
【理由は2つ。①そもそも攻撃を受けた事に気付いていない。②気づいていても公表していない。】
身近にサイバー攻撃を受けた知り合いがいない理由は大きく分けて2つ挙げられます。
まず、そもそもサイバー攻撃を受けたこと自体に気付いていない場合です。
踏み台攻撃に利用されている可能性があります。
次に、サイバー攻撃を受けても公表しない場合です。
皆さんは、サイバー攻撃の被害に遭ってしまったら公表しますか?
2014年3月にArbor Networks社とエコノミストの調査会社(EIU:Economist Intelligence Unit)によるセキュリティ侵害に関する企業アンケート調査結果が発表されました。
その結果、
①77%がサイバー攻撃の被害を経験している。
②57%は被害情報を公開義務がない限り自発的に公表しない。
③35%は被害情報を他社と共有しない。
④3分の2が「セキュリティ侵害へ上手く対処することにより、企業の顧客信用を一層強化することができる」と考えている、とのこと。
この結果から、半数以上が公表へネガティブな意見であることが分かります。
誰しもネガティブな事柄は発表したがらないものです。
まとめると、そもそも攻撃を受けたことに気付いていない、または公表していないため
身近でサイバー攻撃で『やられた!』と聞かないのではないのではないでしょうか。
一方で、サイバー攻撃の被害について即座に対応し公表している企業もございます。
株式会社カプコンです。
2020年11月2日にランサムウェアによる攻撃が判明。
その二日後、11月4日にホームページ上に公表しています。
参考:総務省「サイバー攻撃被害情報の共有と公表のあり方について」
https://www.soumu.go.jp/main_content/000739129.pdf
参考:株式会社カプコン「不正アクセスに関する調査結果のご報告【第4報】」
https://www.capcom.co.jp/ir/news/html/210413.html
「うちは大丈夫、だってパソコン苦手だし、わからないから現場担当者に任せている」
結論
【セキュリティ対策は会社の成長に欠かせない経営課題。経営者の方が積極的に関心を持つことが重要です】
セキュリティ対策は売上や利益を生まない投資なので、現場でセキュリティにもっと投資して強化しよう!被害を防ごう!という判断は出来ません。
決裁権を持つ経営者の方が積極的に関心を持つことが重要です。
「うちは大丈夫、だっていざとなればインターネットなんか使わなければいい」
結論
【Society 5.0ではインターネットが経済発展を支える社会となるでしょう】
確かに一つの選択肢だとは思います。
しかし、AI(人工知能)、IoT(モノのインターネット)、ロボットなどのデジタル技術やバイオテクノロジーなどの技術革新が急速に進んでいる近年、インターネットを使わずに仕事ができるでしょうか。
これらは単なる技術革新にとどまらず、産業や社会の在り方、働き方に革命的な変化を及ぼそうとしているとも言えます。
政府は、Society 5.0という
『サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)』
を提唱しています。
交通、医療・介護、ものづくり・製造、農業、食品、防災、エネルギーなどあらゆる分野においてシステム、ネットワークの活用が加速度的に進められるでしょう。
世の中がどんどん便利になっていますが、便利なものは殆どがインターネットありきで進歩しています。
取引先のやり方に合わせる為に、世の中のニーズに対応する為にインターネットはこれからも仕事に必須なもの。
だから安心して仕事を進める為にセキュリティ対策は重要なのです。
参考:内閣府「Society 5.0とは」
https://www8.cao.go.jp/cstp/society5_0/
まとめ
御社のセキュリティは「大丈夫」でしたか?
ウイルスが毎日更新されているように、大丈夫の基準を日々更新していかなくてはいけません。
このコラムが御社サイバーセキュリティの一助となれれば幸いです。
弊社では、サイバーセキュリティ対策のご相談を随時受け付けております。お気軽にお問い合わせください。
↓ ↓ ↓
UTM導入をご検討中の方へ
セキュリティのプロが解説するUTM(統合脅威管理)導入のメリットとは?
ネットワークセキュリティ対策機器(UTM)導入までの8つのステップ!
防犯カメラの入れ替え時期が近づいていませんか?
