中小企業を狙うサイバー攻撃の手口や背景から企業が行うべき具体的な対策をくわしく解説

従来は、大手企業をターゲットにしたサイバー攻撃が一般的でした。しかし、近年では中小企業もサイバー攻撃のリスクにさらされています。サイバー攻撃の脅威に備えるため、セキュリティ対策の強化が必要です。この記事では、自社のセキュリティ対策の強化を検討中の人に向けて、サイバー攻撃の種類や手口、中小企業が狙われる背景、企業が行うべき対策などについて解説します。

目次

• 中小企業におけるサイバー攻撃の現状
• サイバー攻撃の主な種類と手口
• 中小企業がターゲットにされる背景
  • 社員レベルで必要な対策
  • 中小企業がサイバー攻撃から身を守るための対策中小企業を利用して大企業を狙うケースが増えているまとめ

中小企業におけるサイバー攻撃の現状

サイバー攻撃による被害は、大手企業だけに留まらず、中小企業にまで広がっています。以下では、中小企業をターゲットにしたサイバー攻撃について、実際に発生した事例も交えて解説します。

中小企業を狙うサイバー攻撃とは

企業を狙ったサイバー攻撃は、世界中で報告されています。そもそもサイバー攻撃とは、悪質な第三者が企業の社内ネットワークに侵入し、企業の機密情報や社員・顧客の個人情報を不正に入手するなどの被害を受けることを意味します。

このほかにも、関係者を装った詐欺メールやウイルス感染、コーポレイトサイトなどの改ざんといった被害も多いです。サイバー攻撃によって漏えいした情報は、売買に利用されたり、入手先の企業に対して情報を盾にして金銭を要求したりするケースがあります。いずれにしても、金銭や企業の信頼の失墜などを目的としています。

実際に中小企業で発生したケース

日本損害保険協会では2019年に、中小企業や大企業の経営者や役員を対象に、サイバーリスクに対する意識調査を実施しました。調査結果によれば、中小企業の5社に1社がサイバー攻撃による被害を受けたことがあると回答しています。さらに、約4社に1社は、サイバー攻撃への対策を講じていないことがわかりました。

また、全体の約3割の経営者は、自社がサイバー攻撃を受けた場合の被害を想定できていないといった結果も公表されています。以下の見出しでは、実際にサイバー攻撃の被害を受けた企業の事例を紹介します。

※参考：中小企業の経営者のサイバーリスク意識調査2019｜日本損害保険協会

健康食品会社の事例

従業員数が10名程度のある健康食品会社では、自社サイトに不正にアクセスされ、氏名やクレジットカードなどの顧客情報が外部に漏えいするといった被害を受けました。原因は、レンタルサーバーに仕込まれていた不正なプログラムです。復旧の目途が立たず、自社サイトは閉鎖するまでに追い込まれてしまいました。

自動車部品加工業の事例

従業員数が100名以下のある自動車部品の加工業者では、ランサムウェアの感染によって、業務が滞るなどの被害を受けました。原因は、経営者の受信ボックスに届いた1通のメールです。このメールにはファイルが添付されており、開くと同時にランサムウェアに感染する仕組みになっていました。これにより、自社のパソコン（PC）内のファイルが勝手に暗号化され、利用できなくなりました。

まずはKDDI まとめてオフィスにご相談ください

サイバー攻撃の主な種類と手口

サイバー攻撃は、企業のセキュリティ対策の強化とともに、より複雑化しています。なかでも、代表的なものが「不特定多数型」と「標的型」です。以下では、それぞれの特徴や代表的な手口を解説します。

不特定多数型

不特定多数型とは、その名のとおり、不特定多数の人や法人、企業などを狙ったサイバー攻撃のことを指します。特定のターゲットがないことから、「無差別型」とも呼ばれています。代表的な手口は、マルウェアの感染やフィッシング詐欺、公式サイトに似せた偽造サイトへの誘導などです。

たとえば、セキュリティソフトを利用していない、PCやソフトウェアなどのアップデートを怠っているなど、セキュリティ対策が不十分な場合、マルウェアに感染するリスクが高まります。

標的型

標的型とは、特定の法人や企業をターゲットにしたサイバー攻撃のことを意味します。独立行政法人情報処理推進機構（IPA）では、2020年にサイバー攻撃の被害を受けた法人や企業などの組織を対象とした調査を実施しました。

調査結果によると、最も被害が多かった事例は、標的型のウイルス感染による機密情報の漏えいです。ウイルスが仕込まれたメールを開封したことで、PCがウイルスに感染し、偽のWebサイトに誘導されて金銭を迫られる、機密情報を盗まれるといった被害が報告されています。

標的型によるサイバー攻撃のターゲットは、民間企業だけでなく、官公庁などの公的機関を狙ったケースも多く、不正なアクセスがあった事実が報道されました。

※参考：情報セキュリティ10大脅威 2020｜独立行政法人情報処理推進機構（IPA）

まずはKDDI まとめてオフィスにご相談ください

中小企業がターゲットにされる背景

金銭目的のサイバー攻撃の場合、中小企業よりも大企業を狙ったほうが見返りも大きいといえるでしょう。しかし、大企業ではなく、中小企業をターゲットにしたサイバー攻撃が増えています。その理由について、以下で解説します。

専門知識をもつ人材が不足している

中小企業がサイバー攻撃のターゲットにされる理由の1つは、セキュリティの穴とされる脆弱性に対して、適切な対応を行える人材が少ないことです。上述した日本損害保険協会の意識調査結果にもあるとおり、セキュリティ対策への考え方は企業によって差があります。また、人材を育成するとなれば、時間やコストがかかってしまいます。

対策が不十分だとターゲットにされやすい

潤沢な予算がある大企業は、必要なリソースを確保しやすいことから、十分なセキュリティ対策を施せます。しかし、中小企業は大企業に比べ、十分な予算を確保しづらいといったケースも多いです。そのため、大企業のように膨大なコストをかけて高セキュリティシステムを構築したり、セキュリティ分野に明るい人材を雇用したりするなどの対策を練るには、限界があります。

まずはKDDI まとめてオフィスにご相談ください

社員レベルで必要な対策

中小企業ができる範囲でセキュリティ対策を行うためには、社員にセキュリティ対策の重要性を理解してもらう必要があります。ここでは、具体的な対策を解説します。

情報セキュリティに関する指導を行う

企業が十分なセキュリティ対策を実施している場合でも、社員一人ひとりのセキュリティ意識が低いままでは、サイバー攻撃によるリスクは高まります。たとえば、社用のPCやスマホを社外で使用する際は、公衆のフリーWi-Fiを使用しない、デバイスごとに最新のアップデートを行うなどのルールを決めておくことも重要です。

また、セキュリティ対策の重要性を理解してもらうために、外部からセキュリティの専門家を招いて研修を行うことも有効な手段です。

パスワードを厳格に管理する

社用のPCやスマホなどのデバイスは、第三者が予想できないパスワードを設定する必要があります。たとえば、生年月日や社員番号などの数字をパスワードに設定すると、簡単に見破られてしまいます。また、パスワードをメモした付箋をPCのデスクトップに貼り付けておくなど、人目のつく場所にパスワードのメモを置かず、各自で厳重に管理するように周知徹底させることが大切です。

まずはKDDI まとめてオフィスにご相談ください

中小企業がサイバー攻撃から身を守るための対策

上記では、社員レベルでのセキュリティ対策を紹介しましたが、ここからは、企業レベルでの対策について解説します。

IPAのガイドラインにもとづいた対策を実施

適切なセキュリティ対策を行うためには、IPAの「サイバーセキュリティ経営ガイドライン」に基づいた項目を検討する必要があります。サイバーセキュリティ経営ガイドラインとは、IPAと経済産業省が共同で策定した企業向けの情報セキュリティに関する基本方針のことです。

このガイドラインに沿って必要な対策を検討すれば、セキュリティの専門家がいない企業でも基本的なセキュリティ対策を講じられます。同時に、緊急時に備えたBCP（事業継続計画）の策定や見直しも有効です。

共有設定を見直す

まずは、自社のセキュリティにおける現状を把握する必要があります。なかでも、社内の共有設定の見直しは、社内のデータを守るうえで重要です。たとえば、クラウドサービスやインターネット接続が可能な複合機などの共有範囲を制限しましょう。

また、社員が異動した場合は、所属部署のデータ保管やネットワーク接続のアクセスを制限するなどの設定変更を徹底させることも大切です。さらに、アクセス権限などを付与された管理職クラスの社員が退職した後の管理方法やルールの見直しも必要です。

セキュリティソフトやサービスを導入する

独自のセキュリティシステムを構築するためには膨大なコストや時間がかかるため、自社で一からセキュリティ対策を行うには限界があります。その点、商品化されているセキュリティソフトやサービスを活用すれば、迅速にセキュリティ対策を講じることができます。

また、セキュリティの専門家に相談したり、アドバイスをもらえたりできるサービスもおすすめです。自社の状況や既存システムとの相性を考慮したうえで、適切なソフトやサービスを選びましょう。

まずはKDDI まとめてオフィスにご相談ください

中小企業を利用して大企業を狙うケースが増えている

これまでは大企業を狙ったサイバー攻撃が一般的でした。しかし、情報漏えいなどが頻繁に起これば、社会的な信用を失いかねません。そのため、大企業ではリスク対策の一環として、万全なセキュリティ対策を講じるようになりました。これにより、サイバー攻撃のターゲットは、強固なセキュリティ対策を行う大企業から、セキュリティ対策が比較的緩い中小企業へと移行していきます。

さらに、取引先の中小企業の社内ネットワークに不正に侵入し、大企業を狙う「サプライチェーン攻撃」の事例も増えています。このように、悪質なサイバー攻撃から自社を守るためには、関連会社や取引先を含めた大規模なセキュリティ対策が必要です。

まずはKDDI まとめてオフィスにご相談ください

まとめ

サイバー攻撃による被害は、大企業だけでなく中小企業にまで広がっています。不特定多数型や標的型、サプライチェーン攻撃など、攻撃の種類は多岐にわたっています。自社をサイバー攻撃のリスクから守るためには、セキュリティ対策をトータルサポートしてくれるサービスを検討しましょう。

「KDDI まとめてオフィス」は、「通信×オフィス環境」のトータルソリューションにより、いい仕事場への最短ルートを提供する会社です。主軸は通信・端末・ITソリューションで、KDDIの高品質で安全性の高いサービスをそのままに提供しています。

セキュリティサービスに興味がある人は、詳細をこちらからご覧ください。

KDDI まとめてオフィスのまとめてUTMのご紹介はこちら

KDDI まとめてオフィスのまとめてセキュリティ対策のご紹介はこちら