いまや、サイバー攻撃はどの企業にとっても対策が求められる脅威である。総務省所管の国立研究開発法人NICTが発表した調査によると、2020年のサイバー攻撃関連のパケット数は2012年と比較して約66倍に増加しているという。このように被害が増加する中で、サイバー攻撃の標的にされやすい企業の特徴が見えてきた。

基幹ITシステムが古い・脆弱である

一般的に、あらゆるOSやソフトは提供から日数が経つごとにセキュリティ性が脆弱になる。業務で用いるITシステムにおいても同様だ。

もちろん、新製品を導入しアップデートによる改善を受けることでこの問題は解決できるが、予算不足を理由にそれを十分に果たせない企業も多いことだろう。この理由により、資金面で難があり、容易にITシステムを刷新できない中小企業はサイバー攻撃にとって格好の標的となるのだ。

個人情報が集約されている

サイバー攻撃を行う大きな理由として、企業が持つ個人情報に不正アクセスするということがある。したがって、大量の個人情報を安易に集約して管理している企業は標的になりやすい。

企業はもちろん、自治体やそれらに運用される組織は多くの個人情報を有している。特に狙われやすいのが教育機関だ。アメリカのとあるセキュリティ企業が2020年に発表した調査によると、コロナ禍以降、公立学校への攻撃が増加しているという。これは、学校が生徒の情報を大量に保有していることに加え、オンライン授業の浸透によりネットワークへアクセスする時間が増加していることも影響している。

ひとくちにサイバー攻撃と言っても、その種類は大きく二つに分類できる。対策する場合は2種類の特徴を理解したうえで適切に判断を下すことが重要だ。

ばらまき型

不特定多数を対象にメールなどを用いてマルウェアを送りつける攻撃方式を「ばらまき型」と呼ぶ。この方式のサイバー攻撃では、マルウェアを使ってPCなどから個人情報を盗み、これを人質に身代金を要求するケースが多い。あるいは、感染したPCを踏み台にしてさらにメールをばらまき、企業の内部システムや関連企業に被害を拡大させるというケースも見受けられる。

この方式は、複数の企業へ同時にばらまいて攻撃するという特性上、旧来のマルウェアが使い回されていることが大半である。そのため、業務で使う端末にウイルス対策ソフトを導入することで被害を防止可能だ。

なお、近年はばらまき型サイバー攻撃に使われるマルウェア「Emotet」の被害が増加している。こちらの対策については以下の記事を参照にしてほしい。

「マルウェア「Emotet」」の詳細はこちら！

標的型

特定の企業にピンポイントで新種のマルウェアを送りつける攻撃方式を「標的型」と呼ぶ。標的型の攻撃では、事前調査により標的企業の情報を調査することで取引先や社員を装い、通常のビジネスの連絡のふりをしてマルウェアを仕込んだメールを送りつける。

また、この方式で用いられるマルウェアは攻撃する企業向けに新しく作られたものであるため、ウイルス対策ソフトを用いても感知しづらいという特徴がある。このような特徴により、ばらまき型攻撃に対し十分な対策を取っている企業でも、標的型攻撃にはあっさり侵入を許してしまうケースが多い。そのため、重要な情報をネットワークから遮断した領域に保存するなど、複雑な防御壁の構築が求められる。

また、標的型攻撃の被害を防ぐためには、研修などによる社員への教育が効果的と言われている。これは、どのような標的型攻撃も、最初は企業内の誰かの端末から攻撃を加えることができないためだ。「外部との連絡に不審な点がないか注意する」「攻撃の起点になりやすい脆弱性のあるネットワークを業務で利用しない」などを徹底することで、企業全体で意識を高めることが重要である。

近年はリモートワークが浸透したことによって、セキュリティ意識が下がったと言われている。このような状況は、標的型攻撃の被害を受ける原因になりかねない。

「テレワークでの情報漏えいリスク」の詳細はこちら！

企業へのサイバー攻撃においては、起点となった社員が「事を荒立てたくない」という思いで個人的に対応をしてしまうケースがしばしば見受けられる。最悪の場合、社員個人が身銭を切って身代金を払ってしまうばかりか、サイバー攻撃があったことを企業が把握できないという状況に陥ることもある。このような事態を防ぐため、サイバー攻撃は企業全体で対応すべきものだということ社員に理解してもらい、万が一被害を受けた場合は組織内で状況を共有しやすい体制を整えておくことが重要だ。