ランサム被害の75％は中小企業 大事なのは“全員参加”のセキュリティ対策だ：半径300メートルのIT

ランサムウェア被害が拡大する今、大企業だけでなく中小企業にとってセキュリティ対策を講じることは急務となっています。しかし、なかなか対策が進まない背景には何があるのでしょうか。

[宮田健，ITmedia]

　サイバーセキュリティにおける重要な考え方の一つに「攻撃者の視点で対策を講じる」があります。サイバー攻撃者も人間であり、技術力をお金に換える“エンジニア”です。エンジニアは小さな労力で大きなリターンを得ること――最も効率良く稼ぐことに長けていますから、その視点から被害者を選定します。

　昨今のサイバー攻撃は「マルウェアをクリックさせたら終わり」というものではなく、新たなマルウェア感染を狙ったり、ラテラルムーブメントのようなシステム内部でのサイバー攻撃を時間をかけて実行したりします。この段階で攻撃者は、攻撃に成功した複数の組織から「最もお金を取りやすいところ」を選別することになります。

　では、この「選別」される基準とは何でしょうか。

ランサムウェア被害の75％が中小企業という実態

　トレンドマイクロは2023年2月、「アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態」と題するリサーチ結果を発表しました。主にランサムウェアの被害について、同社が収集した情報をリサーチャーがまとめたものです。この中で興味深いポイントが幾つか指摘されていました。

　トレンドマイクロの石原陽平氏（セキュリティエバンジェリスト）によると、リークサイトからまとめたランサムウェアの攻撃傾向から、500人規模の従業員数を持つ組織が全ランサムウェア被害の75％を占めていることが明らかになりました。これはContiとLockbitというランサムウェアグループが公開したリークサイトにおける公表内容を集計したものです。

中小企業がContiおよびLockbitの被害の多くを占めている（出典：トレンドマイクロ発表資料）

　これまでも「セキュリティ対策が進む大企業よりも中小企業の方が危ない」という認識を持つ人は多かったかもしれません。それを裏付けるように、調査結果からはランサムウェア被害が中小企業に移り、対策が急務となっていることが分かります。

　同調査ではリークサイトに企業名が表示された後、その情報が消えた――つまり、身代金を支払ったであろう組織が全体の平均16％であることも発表されています。ただし、この結果はあくまで“平均”であり、業種によって支払った割合には変化があります。国別に見ると、南米は支払率が高いがヨーロッパでは低いといった偏りがあり、従業員数が1万人以上の組織は5.88％と、平均よりも低いことが分かります。ここでも中小企業は身代金を払う「狙い所」だと考えられているかもしれません。

特に「ふつうの従業員の意識」が足りない？

　2022年秋に開催されたアイティメディア主催のオンラインイベント「ITmedia Security Week 2022 秋」で、サイバーディフェンス研究所の名和利男氏（上級分析官）は、「今後、サイバー攻撃が実行されるプロセスは一層加速するにもかかわらず、私たち対抗する側は適応力や機動力が低下しつつある」と指摘しました。

　そして同氏は低下の原因となるのは、組織のセキュリティ部門でも経営陣でもなく、「営業部門」「事業部門」といった“普通の人たち”だと述べています。これは聞いていて本当に耳が痛い内容でした。ぜひレポートも併せて確認してみてください。

　「営業部門」や「事業部門」が攻撃者に利する形で動いてしまうということは、セキュリティ専任が存在しない中小企業の実態そのものです。中小企業がこの状況をひっくり返すには、やはり普通の人たちがセキュリティを考えることが重要でしょう。2023年はその点が対策の大きなポイントになるはずです

中小企業のセキュリティ対策を後押しする資料を紹介

　上記を踏まえて、中小企業におけるセキュリティ対策のヒントとなる資料を紹介します。情報処理推進機構（IPA）はそのものズバリの「中小企業の情報セキュリティ対策ガイドライン」を既に3版まで公開しています。これに関連した「SECURITY ACTION」にも目を通しておきましょう。ソリューションとしては中小企業が手軽に導入できる「サイバーセキュリティお助け隊」もお薦めです。

　より具体的なセキュリティ対策の指針としては、トレンドマイクロのリサーチにおいて、Contiが利用している脆弱（ぜいじゃく）性のほとんどが「内部活動に悪用できるもの」だったことがヒントになります。

　調査によると、共通脆弱性評価システム（CVSS）の緊急度が高いものより、権限昇格を狙える脆弱性が悪用されていたことが明らかになっており、これは脆弱性対策の指針として非常に示唆に富んでいます。また、Contiがわずか4ベンダーの脆弱性しか使っていないというのも興味深いと言えるでしょう。ほとんどはMicrosoft製品の脆弱性ですが、ApacheやFortinet、VMwareといった名前にピンときたら、自社に設置した各種製品、アプリの脆弱性を気を付けて運用する必要があります。特に「VMware ESXi」は、現在進行形で大きな攻撃キャンペーンが動いています。こちらもチェックしてください。

ランサムウェアグループContiが悪用する脆弱性／製品（出典：トレンドマイクロ発表資料）

私たちがとるべき第一歩は？

　繰り返しになりますが、中小企業のセキュリティ対策で重要なのは組織の中にいる普通の人――つまり、私たちです。個人で使用しているPCやスマートフォンも「Emotet」といった電子メール経由のマルウェア送付の標的になる可能性があります。組織におけるセキュリティと自分自身が無関係と思わず、個人の端末を守るためにも有効と考えれば、セキュリティ対策へのやる気も高まるのではないでしょうか。

　2月はサイバーセキュリティ月間ということもあり、多くの資料が再注目されています。個人的には内閣サイバーセキュリティセンター（NISC）がまとめている「インターネットの安全・安心ハンドブック」を推奨したいと思います。個人においては、組織が行うセキュリティ対策とは別に「SNS」「クレジットカード」などをどう守るかという課題があるため、これも併せてチェックしてみてください。

　引き続き、サイバーセキュリティにおいては組織も個人も踏ん張りどころにあります。経営層も「ウチは小さいから関係がないよ」と思う人もほとんどいなくなっているはずです。次のステップは、経営層も変われたのだから「自分たちも変われる」と思うところからでしょう。2023年こそは、サイバー空間を少しでも安全に変え、インターネットを子どもたちも安全に使える場所になることを目指していきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。