「取引先経由」のサイバー攻撃が増加 狙われる中小企業が見直すべき「セキュリティ対策」の3ステップ(1/3 ページ)
本記事の内容は、フリーが6月16日に開催した「freee 統合ワールド 2026 」内で実施されたセッション「【フリーCISO登壇】ITガバナンスは『可視化』から始まる ― 限られたリソースで実現するセキュリティ体制」の内容を要約したもの。
企業を狙ったサイバー攻撃が後を絶たない。2025年後半に、アスクルやアサヒグループホールディングスが被害を受け、商品の受注や出荷が停止したことは記憶に新しい。
一方「自社には狙われるような情報はない」「サイバー攻撃の標的は一部の大企業だけ」と考える中堅・中小企業は少なくない。しかし、近年は中堅・中小企業がサイバー攻撃の起点として狙われるケースが増えているという。
「サイバー犯罪はもはや産業と化している」──こう警鐘を鳴らすのは、セキュリティ対策サービスなどを手がける富士フイルムビジネスイノベーション(東京都港区)執行役員の尾崎裕司氏だ。
ブローカーや交渉人、実行組織などが絡み合う犯罪集団に、人手やリソースが限られる中堅・中小企業が単独で立ち向かうのは難しい。では、どのように対策を進めればよいのか。
年間「3億件」の不正アクセスを検知 「産業化」するサイバー犯罪
尾崎氏によると、攻撃者は特定の企業を狙い撃ちにしているわけではないという。AIなども活用しながら、インターネット上に存在する脆弱(ぜいじゃく)なシステムを広範囲に探し、侵入可能な企業を探しているのだ。
富士フイルムビジネスイノベーションが提供する中小企業向けセキュリティサービス「beat」では、1年間で3億件規模の不正アクセス、6億通規模の迷惑メールを検知しているという。
尾崎氏は「現在のサイバー犯罪組織は高度な分業体制を構築している」と指摘する。企業への侵入経路や脆弱性情報を収集・販売するブローカー、攻撃ツールを開発する開発者、それらを売買する仲介組織、実際に攻撃を実行する部隊。さらに、攻撃が成功した後には身代金交渉を担当する者や、仮想通貨のマネーロンダリングを担う組織まで存在するという。
「われわれが相手にしているのは1人2人のハッカーではなく、業界そのもの。企業が単独で対抗することは難しい」(尾崎氏)
増加する取引先経由での攻撃
近年、特に問題となっているのが、サプライチェーンを経由した侵害だ。
攻撃者は、防御が手薄な取引先や関連会社に侵入し、その企業を踏み台にして本丸となる標的へ到達しようとする。例えば、取引先の企業のメールアカウントを乗っ取り、実在する担当者になりすまして不正ファイルを送信する。受信側は普段からやり取りのある担当者からのメールだと警戒せずにファイルを開いてしまう。
その結果、被害は取引先や顧客にも広がり、企業間の信頼関係そのものが損なわれるリスクが生じる。
ランサムウェア攻撃も変化している。
かつてはシステムを暗号化し「業務を再開したければ身代金を払え」と要求するケースが中心だった。しかし現在は、同時に顧客情報や機密データを盗み取り「公開されたくなければ支払え」と脅迫する手法が一般化しているという。事業停止と情報漏えいのダブルパンチによって、被害はより深刻になっている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。