中小企業も要注意！国際的なハッカーの攻撃に備えるセキュリティ対策

DX（デジタルトランスフォーメーション／以下：DX）に取り組む企業が増えてきた現在、ICT（情報通信技術）により企業が活躍する場は世界中に、さらには仮想空間にまで広がっています。

国境や現実／バーチャルの境界線を飛び越えてビジネスを展開できることは、成長を目指す企業にとって歓迎すべき変化でしょう。

しかし、こうした変化は新しいリスクの増加と表裏一体です。自社システムのセキュリティ問題、特にサイバーセキュリティは今や経営の一部として無視できない領域になっています。

国際的なハッカーの脅威は増加の一途をたどっており、その標的は世界的な大企業だけでなく、中小企業も含まれています。

サイバー空間は地理的・時間的制約を受けることなく、不特定多数の人に情報を拡散する力を持っており、これが犯罪に悪用された場合、企業に及ぼす被害はこれまでの類似の犯罪とは比較にならないほどの規模になる可能性があるのです。

もはや現代は、中小企業においてもサイバー犯罪に適切に対応するための体制整備は急務と言えるでしょう。

この記事では、国際的なハッカーに備えるセキュリティの取り組み方について、様々な面から解説します。

今後ますます活躍の場を広げたい中小企業の経営者様は、どうぞご参考にしてください。

国際的なハッカーの手口とその影響

ハッカーとは「コンピュータやネットワークについて高度な知識やスキルを持つ人々」を意味しています。

つまり、多くの人がイメージしている「ハッカー＝犯罪者」というわけではなく、ハッカーの中には、特別な技術やテクニックを人々のために使う「正義のハッカー」である「ホワイトハッカー」と呼ばれる人々も存在します。

本来の意味では、コンピューターやネットワークに関する知識や技術を使って、社会や企業が抱える様々な課題を解決する人も「ハッカー」なのです。

社会インフラの拡充やセキュリティ対策、犯罪捜査などで貢献している人に対してを、敬意をこめて「天才ハッカー」と呼ぶこともあります。

一般の人が「ハッカー」に対して持つ悪い印象は、この言葉を耳にする機会が、政府や企業の不正アクセス被害に関する報道など、犯罪事件のケースに限られていることによるものであり、誤解に基づくイメージなのです。

しかし、裏を返せば、こうした誤解が広まり「ハッカー＝犯罪者」というイメージが根付いてしまうほどに、悪質なハッカーによる犯罪行為が報じられているということでもあります。

実際に、自身の持つ特別な技術を悪用し、不正な利益を得ようとするハッカー、いわゆる「ブラックハッカー」による事件は頻発しています。

彼らが暗躍する場は今や世界中に広がり、国際的な悪のハッカーたちによって世界中の企業を対象としたサイバー攻撃が行われているような状況です。

本章では、こうした「悪のハッカーたち」が行うサイバー攻撃に関して、その手口や社会的な影響などを整理していきます。

サイバー攻撃とハッカー集団

サイバー攻撃とは、コンピュータやネットワークを経由して行われる悪意のある行為（攻撃）を指します。

• データの盗難
• サービスの妨害
• マルウェアの感染

一般的には、このような手口を用いて国や企業に対して行われる攻撃の総称としてサイバー攻撃という用語が使われます。

こうした攻撃を行うハッカーたちは往々にして高度な技術を持っています。さらに近年は組織的に活動しているケースが増加しており、被害が深刻化しているのです。

サイバー攻撃の目的は、自分たちが経済的利益を得るため、政治的・社会的なメッセージを発信するためといったケースから、単に混乱を起こすことを楽しむ愉快犯まで多岐にわたっています。

ハッカーの主な手口

悪意を持ったハッカーたちは、国や企業を相手に悪質かつ巧妙な手口でサイバー攻撃を仕掛けてきます。

その手口の進化はすさまじく、防御策が後手に回ってしまう場合も少なくありません。現在、多くの被害が確認されている種類や手口には次のようなものがあります。

サイバー攻撃の種類

• ランサムウェア：企業のデータを暗号化し、その解除のための身代金（ランサム）を要求する
• フィッシング：偽のメールやウェブサイトを使って、ユーザーの個人情報や資金を盗み出す
• クロスサイトスクリプティング：WEBサイトやアプリケーションの脆弱性を利用して悪質な罠（スクリプト）を仕掛け、アクセスしたユーザーの個人情報を盗み出す
• SQLインジェクション：WEBサイトやアプリケーションの脆弱性を利用してデータベースを不正に操作する
• マルウェア感染：ユーザーに不利益をもたらす悪意あるソフトウェアの総称。見た目には通常のソフトウェアと変わらないダミーをネット上に起き、個人情報の抜き取りやデータ破損、意図しないメール送信などを行う

サイバー攻撃の手段

• ゼロデイ攻撃：プログラムやコンピュータ、システムの脆弱性が発見されてから、適切な対策方法が確立するまでのわずかの間に攻撃を仕掛ける
• 辞書攻撃（ブルートフォースアタック）：辞書に載っている単語を組み合わせて自動生成した文字列を、正規のパスワードと一致するまで入植し続けて、ログイン情報を不正に盗み取る

サイバー攻撃による損失

サイバー攻撃による経済的損失は、世界中で年々増加しています。その傾向は日本においても同様です。

2022年12月に米セキュリティ大手のトレリックスが発表した、日本企業のサイバー攻撃被害に関する調査結果によると、直近1年間で受けたサイバー攻撃の被害額が自社売上の1割以上だったと回答した企業は、実に42.8％に上っています（参考：日本経済新聞「サイバー攻撃で「売上高の10%超の損害」4割　民間調査」）。

これだけの規模の経済的損失は、継続的な企業活動を行う上で、決して無視できるものではないでしょう。

しかも、ハッカーによるサイバー攻撃を受けた企業が失うものは、経済的なものばかりではありません。

それよりもむしろ、企業にとってもっとも大切な顧客の信頼を失うリスクのほうがはるかに重大です。

特に、個人情報が流出してしまった場合、その影響は計り知れず、一度「この企業のセキュリティは甘く、安全なサービスが提供できていない」という認識が広がってしまうと、その信頼を回復するのは容易ではありません。

それまで以上に強固なセキュリティ対策を行って真摯な顧客対応を続けていったとしても、一度ついてしまったイメージを覆すことためには多くの困難がつきまといます。

中小企業が取るべきセキュリティ対策

中小企業がサイバーセキュリティの脅威から身を守るためには、以下のような具体的な対策を実施することが求められます。

社内教育の推進

従業員に対して、サイバーセキュリティの基本的な知識や最新の脅威についての研修を定期的に実施することは、企業のセキュリティ対策の基本です。

実践的な研修方法としては、例えばフィッシング詐欺の模擬メールを送り、従業員の反応を確認するなど、実際の状況を想定したトレーニングも有効でしょう。

また、サイバーセキュリティに関するポスターやリーフレットを社内に掲示し、常に意識を高めるよう努力したり、万が一サイバー攻撃にさらされた場合の対処方法を、詳細なマニュアルで定めておくことも有効な手段です。

従業員のアクセス制限

サイバー攻撃にさらされたとしても、それを水際で防御することができれば、被害を最小限に抑えることができるでしょう。

サイバー攻撃の被害が大きくなってしまったケースでは、従業員の人的ミスがきっかけである場合も少なくないため、前述のように、社内教育の推進は最も有効な施策の1つに挙げられます。

しかし、いくら社員教育を徹底して1人ひとりのITリテラシーを高めていたとしても、ヒューマンエラーを完全になくすことはできません。

例えば、社内では意識して取り組んでいても、自宅のパソコンのセキュリティにまで十分に意識が向いていない従業員がいる可能性は排除できず、企業として監視・管理することも容易ではないのです。

ウイルスに感染している自宅のパソコンから会社のシステムにアクセスした場合、そこからシステム全体にウイルスの被害が及んでしまうこともあるでしょう。

こうした事態を避けるためには、従業員1人ひとりがその所属や役職に応じて、必要な業務に関わるシステムのみにアクセスできるように、細かく権限を設定しておくことも有効な手段です。

また、不要なサービスやアプリケーションはできる限り無効化し、最小限の権限でシステムを運用する体制を構築しておくことも求められます。

こうした対策を併せて行うことで、ヒューマンエラーが発生した場合でも、被害を最小限に食い止めることができるのです。

最新のセキュリティソフトウェアの導入

サイバー攻撃の手段は常にアップデートされており、その進化に先回りして対策することは容易ではありません。

企業が行える防御策である、最新のウイルス定義を持つアンチウイルスソフトを導入し、定期的に更新すること。あるいは、外部からの不正なアクセスを防ぐため、ファイアウォールを設定し、適切に管理することは、最低限行っておかなければなりません。

また、異常な通信やアクセスを検知し、速やかに対応するための侵入検知システムを導入しておくことも効果的です。

外部の専門家による定期的なセキュリティチェック

システムのセキュリティ対策は、コンピュータやITに関する非常に高度な知識とスキルを求められます。そして、その全てを社内でまかなうことは現実的ではありません。

専門業者に依頼して外部からのアクセスを模擬した脆弱性診断を行うなど、定期的なセキュリティチェックを行うことは対策として有効な手段です。

セキュリティチェックには、社内のネットワークやシステムのセキュリティ状況を定期的に監査し、問題点を洗い出したり、ソフトウェアのセキュリティパッチを速やかに適用したりという、システムの安全性を保つチェックも含まれています。

バックアップの徹底

重要なデータは定期的にバックアップを取り、異なる場所に保存することで、データを失った際のリスクを低減させることも重要なセキュリティ対策です。

こうした予防策をしっかりと取っておくことで、ランサムウェアなどの被害に遭った場合でも、バックアップを用いて迅速にシステムを復旧できるため、ビジネスへの影響を最小限に抑えることができ、企業の信頼度の喪失を防止することにも繋がるでしょう。

参考：警察庁のサイバー犯罪対策

警察庁は、「サイバー警察局」という部局を構え、サイバー攻撃に対する専門家を配置し、官民の連携を図りながら、様々なサイバー事案に対応しています。

もしも自社だけでの対策に苦慮するような場合は、一度相談をしてみるのも良いでしょう。

このような体制のもとで、都道府県警察が行うサイバー犯罪捜査に関する指導・調整を行っており、捜査員の能力向上のための研修や産業界や外国関係機関との連携を強化しています。

参考：警察庁サイバー警察局「サイバー警察局とは」

また、重大サイバー事案への対処を担う国の捜査機関として、警察庁の地方機関である関東管区警察署には「サイバー特別捜査隊」が設置され、外国捜査機関等との強固な信頼関係を構築しつつ、対処に高度な技術を要する事案、及び海外からの組織的なサイバー攻撃への対処を行っています。

参考：警察庁サイバー警察局「サイバー特別捜査隊とは」

各都道府県警察本部のサイバー犯罪相談窓口

まとめ～国際的なハッカー被害は中小企業も他人事ではない

高度なICTが広がり、DXによりデジタル活用が促進されている現代のビジネス環境では、サイバーセキュリティは無視できない重要なテーマです。

デジタル技術の進化とともに、サイバー攻撃の手口も巧妙化し、その影響範囲も拡大しています。

特に中小企業は、大手企業と比べてセキュリティ対策が不十分であることが多く、攻撃のターゲットとなりやすいのが現状です。

中小企業がサイバーセキュリティを後回しにしてしまう理由は、資金や専門知識が不足しているからだけではありません。

多くの企業が「自社は攻撃の対象にならないだろう」と過度に楽観視してしまっていることも大きな要因となっているのではないでしょうか。

しかし、実際には、サイバー攻撃は業種や企業規模を問わず、あらゆる企業が標的になっています。

今や、どれだけ小規模の事業者だったとしてもサイバーセキュリティ対策を怠ることは、経営上の大きなリスクとなり得るのです。

データの流出やシステムの停止は、経済的損失だけでなく、企業の信頼やブランドイメージを大きく損なってしまう可能性があります。

万が一にもこうした事態を引き起こさないためには、危機管理意識を高め、具体的な対策を計画的に実施することが求められるでしょう。

そしてまた、サイバーセキュリティは一時的な取り組みではなく、継続的な努力も必要です。

技術の進化や社会の変化に柔軟に対応し、常に最新の情報を取り入れ対策を見直す。そして、中小企業も大企業も、サイバーセキュリティを経営の中心課題として位置づけ、全社的な取り組みを進める。このことを理解してセキュリティ対策を進めていくことができれば、貴社のビジネスが持続的な成長と発展を実現していくことができるのです。