テレワークやオンライン商談が当たり前になり、ますます欠かせなくなったITツールの活用。新型コロナ感染症の話題で持ちきりの昨今だが、サイバー空間に出回るウイルスの脅威にも十分な注意を払いたい。

プロフィール
なす・しんじ●大手情報機器メーカー、大手経営コンサルティングファームを経て、起業。「難しいセキュリティー問題を誰にでもわかりやすく伝えること」をモットーに、講演、執筆活動を行っている。著書に『ウィズコロナ時代のためのセキュリティの新常識』(ソシム)がある。

──中小企業を取り巻くサイバーリスクの現状を教えてください。

リモート時代のサイバーリスク

那須 世界中で「ステイホーム」が呼びかけられるなか、犯罪者グループが時間を持てあましているのか、サイバー攻撃は急増しています。警察庁が3月に公表したデータによると、昨年摘発されたサイバー犯罪は実に9,875件にのぼり、過去最多を記録しました。
 卑近な例では、巣ごもり需要を受けネットショッピングが活況を呈していますが、携帯電話に不在通知のショートメールが届き、記載されているURLをクリックして住所や電話番号、クレジットカード情報等を入力すると、個人情報が盗み取られてしまうといったケースが頻発しています。
 一方、企業活動において特に懸念されるのが、テレワーク時のリスクです。テレワーク制度を突然導入した結果、セキュリティー対策が不十分なパソコンを社員に貸与したり、業務利用を認めた私物パソコンのウイルス対策ソフトの有効期限が切れていたりといった、さまざまな問題が発生しています。

──コロナ便乗型、あるいはテレワークに起因するリスクが増大していると。

那須 うちみたいな会社は狙われるわけがない、と考える中小企業経営者は少なくありません。しかし、サイバー犯罪者はターゲットである大手企業に攻撃を直接しかけるのでなく、取引先であるセキュリティー体制の脆弱(ぜいじゃく)な中小企業を標的にする傾向があります。こうした手法は「サプライチェーン攻撃」と呼ばれ、情報漏えいにより会社の信用が毀損(きそん)される事案が多発しています。
 パソコンへの不正侵入を証明するには、アクセスログなどを調べるフォレンジック調査が必要ですが、パソコン1台あたり200万円ほど要します。このようにサイバー攻撃を受けると、信用面のみならず費用面でも甚大な被害を受けることになります。サイバー攻撃は中小企業にとって死活問題なのです。

倒産廃業にいたる例も

──中小企業がいわば踏み台にされるわけですね。サプライチェーン攻撃の具体的な手口を教えてください。

那須 サイバー犯罪者は一般的に乗っ取りやすいパソコンを手当たり次第に探す「ランダム攻撃」をしかけてきます。代表的な侵入経路は、電子メールによるウイルス感染。取引先を装い、不審な文書ファイルが添付されたメールを送ってきます。
 最近は保健所をかたったり、件名に新型コロナウイルスの情報を含む不正メールも横行しているようです。何より肝心なのは、送信者や件名、メール本文の内容に不審な点を感じたら、添付ファイルを開封しないこと。開封するとウイルスに感染し、パソコンに保存されているあらゆる情報が抜き取られてしまいます。
 昨年、「エモテット」というウイルスへの感染を狙う攻撃メールが出回りました。今年1月にエモテットの無害化が発表されたものの、新種のウイルスの登場も懸念され、脅威が解消したわけではありません(詳細は『戦略経営者』2021年6月号P12)。

──そのほかにどんな相談が寄せられていますか。

那須 近年顕著なのが「ランサムウェア」による被害です。昨年11月、カプコンがランサムウェアによる個人情報、財務情報等の流出を公表し、注目を集めました。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2021」でも、「ランサムウェアによる被害」が組織を標的とする脅威として、第1位に挙げられています(詳細は『戦略経営者』2021年6月号P18)。
 このウイルスに感染すると、パソコン内のデータが暗号化されてアクセスできなくなり、身代金の支払い要求が届きます。電子メールが入り口となるケースが多く、もし手元にバックアップデータがなければ最悪の場合、業務がストップし、事業継続すら危うくなりかねません。実際、ランサムウェア感染が引き金となった倒産や廃業も発生しており、表沙汰になっているのは氷山の一角といえるでしょう。

欠かせない3つの対策

──情報漏えいは計り知れないインパクトを及ぼすわけですね。経営者はサイバーリスクに対して、どのような対策を施すべきでしようか。

那須 何よりもまず優先してほしいのは、基本ソフト(OS)のアップデートです。メーカーから更新プログラムが配信されたら、速やかにもれなく実行してください。マイクロソフトによるサポートの終了した「ウィンドウズ7」以前のパソコンをネットワークに接続して使用するのは、極めて危険です。
 次に優先度が高いのは、ウイルス対策ソフトの導入。対策ソフトの種類がパソコンごとにバラバラにならないよう、会社側で統一することが肝要です。かつ、自動アップデートを有効にして、ソフトのライセンス期限切れにも注意してください。
 そしてブラウザーのバージョンアップも重要です。マイクロソフトがセキュリティーアップデートの更新を終了しているため、インターネットエクスプローラー(IE)は本来利用すべきではありません。とはいえ、公共事業の電子入札やインターネットバンキングの証明書発行をはじめ、IEで動作するプログラムが一部残っていることも確か。IEの利用は必要最低限にとどめ、インターネット接続時にはEdgeやChromeもしくはFirefoxなどのブラウザーを用いるようにしましょう。
 最低限、これらの対策を実施しておけば、セキュリティーの穴を相当程度ふさげるはずです。

──テレワーク時のリスクと対処方法は?

那須 テレワークは利便性が増す半面、サイバーリスクが一層高まるので注意が必要です。例えば公衆Wi-Fiの利用はそのひとつ。空港や町なかのカフェなど、さまざまな場所にWi-Fiのアクセスポイントが広がっています。ただ、Outlookをはじめ、メールサーバーにアクセスして受信メールをダウンロードするソフトでは、暗号化されていないため、悪意を持った第三者に盗み見されるおそれがあります。
 Gmailやマイクロソフト365といった、ブラウザー上でメールをやり取りするソフトでは、パソコンとメールサーバー間がSSL通信により暗号化されており、安心して利用できます。公衆Wi-Fiを利用する際はネットワーク通信が暗号化されているか確認し、利用を極力控えるのが賢明です。
 本論から少しそれますが、オフィスの電話応対をテレワーク仕様に変更することも有効です。つまり、留守番電話設定にして折り返したり、スマートフォンに転送したりするのです。攻撃者は関係者を装って電話をかけ、社長や役員のメールアドレスを聞き出そうとします。こうした手法は「ソーシャルエンジニアリング」と呼ばれ、新入社員が電話応対する機会の増える春先は、特に注意しなければなりません。

情報は「重要資産」

──個人所有のパソコンやスマホを業務で利用している企業もあります。

那須 オフィス内のパソコンと同様、先に述べた3つの対策をまず徹底してください。もちろん、公式サポートの終了したOSを使用するのはご法度。攻撃者にパソコンを乗っ取られる危険性が一挙に高まります。加えて見落とされがちなのが、自宅にある通信機器のセキュリティーです。管理画面のログインパスワードの変更、Wi-Fiルーターファームウェアの更新といった対策を行うようにしましょう。
 また、クラウドサービスはテレワークと親和性が高く、さまざまな種類のソフトが登場しています。自宅や外出先で日常業務が行えるため便利ですが、サイバー攻撃以外のリスクにも配慮することが大事です。クラウドストレージサービスなどを利用する際は、証明書発行等によって端末認証を強化したり、10文字以上の複雑なパスワードを設定したりして、セキュリティーを強固なものにしてください(詳細は『戦略経営者』2021年6月号P16)。
 あるいはプライベートで使用しているパソコンに重要なデータをダウンロードして業務を行っている社員が退職する場合、ハードディスク内にどのようなデータが残っているかまで意識があまり向きません。情報の持ち出し、漏えいを招かないよう、ルールをあらかじめ定めておく必要があります。

──企業規模を問わず、身近な対策から早期に着手する必要がありそうです。

那須 巷間(こうかん)、DX(デジタルトランスフォーメーション)が叫ばれるようになりました。DXとは、ITを活用した事業変革。DXを積極的に推進している企業ではデータの価値が高まりますから、サイバーリスク対策におのずと注力しています。DXと情報セキュリティーの確保は、いわばクルマの両輪です。手元資金を金庫で保管するように、情報も「資産」であることを肝に銘じ、しっかりガードしてください。

(インタビュー・構成/本誌・小林淳一)

掲載:『戦略経営者』2021年6月号