何故中小企業がサイバー被害に遭うのか

何故中小企業がサイバー被害に遭うのか【セキュリティコラム第2弾 第4回】

前回お伝えした、「サプライチェーン攻撃への対応の難しさ」にも関連する内容ですが、大手だからサイバー攻撃者から狙われるかというと、決してそうではありません。インターネットに端末を接続している、あらゆる企業や個人すら常に狙われている、と言っても差し支えありません。

サイバー攻撃の方法は、主に「標的型」と「ランダム型」に分類されます。
「標的型」は、特定のターゲット企業に向けた攻撃であり、主に大手企業や、有名企業が狙われます。「ランダム型」は、インターネットに繋がっているあらゆる機器や端末が対象となる不特定多数を狙った攻撃です。

ランダムに攻撃を行い脅しをかける

現在サイバー被害（ランサムウェア被害）に遭った企業の攻撃パターンを見ていくと、そのほとんどが「ランダム型」であることがわかります。インターネットに繋がっているシステムの脆弱性を突き攻撃を行い、侵入に成功。その後サーバなどに辿り着き、情報を盗みとったり、ドメイン情報等から企業を特定し、暗号化を行い身代金を要求する、などです。

侵入に成功した先がたまたま有名企業であったり、大手企業の場合は、要求する身代金額を高く設定するようですが、ビジネスとしてランサムウェアによる攻撃を行っている場合は、事業規模の大小に関係なく、脅しをかけて金銭を要求し、支払ってくれる先を「確率論的」に求めます。

「確率論的」である、ということは、母数の多いところが被害に遭いやすい、ということでもあります。日本の場合は事業者の99％を中小企業が占めますので、確率論としても中小企業が被害に遭いやすいのは当然の帰結になります。

中小企業の被害件数

警視庁が「令和５年におけるサイバー空間をめぐる脅威の情勢等について」の中で、ランサムウェア被害件数を発表していますが、中小企業の被害は52%と、半数を上回ります。そして、これはあくまでも、警視庁に報告が上がった数であり、「サイバー被害＝警察に報告する」という認識がない中小企業がサイバー被害に遭い、警察に報告がなされていない可能性は当然あるはずで、中小企業が被害に遭っている実態は、これ以上に存在すると推測します。

いまだに「うちみたいな小さな会社なんて狙われるわけがない」「うちみたいな会社の情報を奪いに来たって意味がないんだからこないでしょ」とおっしゃる経営者と出会います。私が2016年に執筆した書籍（小さな会社のIT担当者のためのセキュリティの常識）の中で、よくある経営者の間違いとして伝えている内容が、8年経っても同じような認識であること、なかなか認識が進んでいないことを実感せざるを得ません。