中小企業こそ知るべき“きれいごとではないランサム対策と考え方”：半径300メートルのIT

多くのランサムウェア攻撃が中堅・中小企業を狙う現状がある一方で、これらの企業はなかなか対策を“ジブンゴト化”できません。このマインドを変革するにはどうすればいいのか。“きれいごとではないランサム対策と考え方”を探ります。

[宮田健，ITmedia]

　先日取材した、とあるスタートアップ企業で、優秀な若手エンジニアが「自分の世代はクラウドネイティブなので、クラウドを使うときに一定の設定やツールを活用すれば、オンプレミスに比べて安全だということは肌感覚で分かる」といった内容をお話していました。

　そのエンジニアは、ベンチャーなりの知見を生かした製品をリリースし、クラウド利用を安全にする……ということをモットーに活動していて、恐らくビジネスとして足りないのは知名度と信頼度のみという印象を持ちました。

　確かにITに触れたときからクラウドが当たり前の世代であれば、クラウドのメリットや設定不備の際のリスクを理解し、境界防御に頼らない、最初からセキュアな環境（恐らくゼロトラストそのもの）を目指せそうです。“しがらみがない”とでも表現すればいいのでしょうか。

　ただし世の中のほとんどはまだ昔ながらの境界防御で、アジャイルとは程遠い仕組みの環境を運用しています。それが「歴史」であり「知名度」や「信頼」を生むのかもしれません。

中小企業こそ知るべき“きれいごとではないランサム対策と考え方”

　日本では引き続き「ランサムウェア」による被害が増え続けています。警察庁の「令和６年におけるサイバー空間をめぐる脅威の情勢等について」によると、報告があった被害企業の過半数が中小企業（222件中140件）、業種のトップは製造業（222件中65件）でした。

ランサムウェア被害の統計（出典：警察庁「令和６年におけるサイバー空間をめぐる脅威の情勢等について」）

　この他、サイバー攻撃の侵入経路としては「VPN機器」「リモートデスクトップ」が大半を占めており、かつて流行した電子メール経由での添付ファイルといった手法はごく少数になってきています。

感染経路のほとんどはVPNもしくはリモートデスクトップの入り口から（出典：警察庁「令和６年におけるサイバー空間をめぐる脅威の情勢等について」）

　対象企業の規模や業種については、日本では「製造業の中小企業」が最も多いので、もし攻撃がばらまかれていたとしたら、着弾するのも製造業の中小企業のはずです。つまりこれらのグラフから「攻撃者はターゲットを特に定めていない」ということが分かります。

　加えて、VPN機器については脆弱（ぜいじゃく）性の問題、リモートデスクトップについては設定の問題があり、放置されてアップデートされていないVPN機器、そして外部に露出し保護されていないリモートデスクトップが侵入経路となることが多いようです。つまり「攻撃者は弱いところを探し、侵入する」ということが分かります。

　あなたの企業が持つ資産を狙って攻撃しているわけではありませんが、もしあなたの企業が脆弱性や誤った設定を放置していたとしたら、次こそはあなたの番かもしれません。この構造を理解していなければ「ウチの規模なら何も持っていないから狙われない」という勘違いをしてしまうかもしれません。

弱いところが狙われて、結果として「重要な個人データ」が奪われる

　その意味で先日、気になる事件が起きました。宮城県仙台市の印刷会社「斎藤コロタイプ印刷」のランサムウェア被害です。2025年4月24日に第一報となる調査報告が公開されましたが、そこには侵入経路として「デジタル鑑識調査（デジタルフォレンジック調査）により、第三者がVPN接続機器を経由し不正アクセスをしたためと判明致しました」とあります。この点を見ると、正に国内で起きている、ある意味ありふれたランサムウェア被害といえます。

斎藤コロタイプ印刷が発表した「弊社工場システムへの不正侵入被害に関するお詫びとお知らせ」（出典：斎藤コロタイプ印刷のWebサイト）

　流出の可能性がある情報（卒業アルバムの写真を含むデータ）は絞られ、対象の学校や自治体からもアナウンスが出ていることを確認しています。斎藤コロタイプ印刷は間違いなく「被害者」であり、悪いのは攻撃者です。しかし、被害者の被害者となる学校や、アルバムに写る子どもたち、保護者は心配で仕方がない事案でしょう。

　個人に強くひも付いたデータを預かる事業者は、対策を進めなければいつか被害に遭ってしまうかもしれないということを理解し、セキュリティ強化の第一歩を踏み出さなければならないことを強く認識させる事案でした。

　斎藤コロタイプ印刷の報告では、下記の対策を講じるとしています。裏を返すと、これこそが原因に直結している項目のはずです。どれも基礎的なものであり、あなたの組織でも今すぐできるものが含まれています。ぜひ、この内容をチェックしてみてください。

• パスワードポリシーをより複雑な条件に変更し、全ユーザーにおいて変更を実施
• UTM機器（統合型脅威管理機器）の脆弱性対策を実施
• UTM機器のアクセスログについて、クラウドサービスを利用して外部への保存体制を構築
• 原因となった業務系ネットワークに対するVPN接続設定を廃止
• 制作系ネットワークで進めているリモート環境での作業テストについてVPN接続にハードウェアトークンによる二要素認証を適用
• 接続回線のグローバルIPアドレスを変更
• PMS規定の年次社内教育において、同事案を受け教育内容を改めて刷新し鋭意社員教育を徹底

　今回の手口はありふれたものであり、どの企業にも発生するであろうインシデントです。しかし個人的に考えさせられたのは、斎藤コロタイプ印刷が持つ、伝統と歴史、それにひも付く「信頼」です。同社のトップページには「つむいできた100年」という、他の企業ではなかなか出せないメッセージが掲載されています。

斎藤コロタイプ印刷は創業1922年。100年以上の歴史を持っている（出典：斎藤コロタイプ印刷のWebサイト）

　多くの学校がその歴史を見て、信頼できる企業であると考え、発注をしているはずです。しかしサイバーの世界はたかだか数十年。歴史ある企業がそこにアップデートできていないと、これまでの信頼を大きく毀損することにつながってしまいます。歴史のある企業こそセキュリティ対策を進める必要があるはずなのです。

　日本は中小企業であっても、このように歴史をもつ企業が数多くあります。ITの力でさらに強くなるためには、セキュリティも同様に、時代とともにアップデートする必要があります。むしろスタートアップなど、若いエンジニアたちの方が肌感覚としてセキュリティを理解していることも増えてきています。お互いの強みが組み合わさればとてもいいのですが、なかなかそういう幸せなマッチングは実現できていなさそうです。

　歴史のある企業はその信頼をキープするという意味で、セキュリティ対策を過不足なく実行することが重要です。「セキュリティは投資だ」と表現されますが、恐らく中小規模ですとそんなきれいごとは通用しないでしょう。それでも歴史や信頼を守るため、自動車の自賠責保険のような考え方で、最新の攻撃手法に対抗し得る仕組みを手に入れることは必須です。

　顧客の信頼を失わないためなら、経営者もセキュリティに対しての考え方を変えられるはずです。歴史を持つ企業、ランサムウェア被害が気になる企業はぜひ、その点をもう一度見直してみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。