「うちは小さな会社だから、サイバー攻撃の対象にはならない」
そう考えている中小企業は少なくありません。
しかし近年は、大企業だけでなく、中小企業や小規模事業所を狙ったサイバー攻撃も増えています。
特に、社内にIT担当者がいない会社、パソコンやネットワークの管理が担当者任せになっている会社、 バックアップやセキュリティ対策が十分に確認できていない会社では、被害に気づくのが遅れることがあります。
この記事では、中小企業が狙われるサイバー攻撃の最新傾向と、まず確認しておきたい基本対策をわかりやすく解説します。
中小企業もサイバー攻撃の対象になっている
サイバー攻撃というと、大企業、官公庁、金融機関、医療機関などが狙われるイメージがあります。
しかし実際には、中小企業も攻撃対象になっています。
攻撃者は、会社の規模だけを見て狙うわけではありません。
セキュリティ対策が弱い会社、古いシステムを使っている会社、パスワード管理が甘い会社、 リモート接続やVPNの設定に不備がある会社など、侵入しやすいところを探しています。
また、中小企業は大企業の取引先や委託先になっていることも多く、 取引先を経由して大きな組織へ攻撃するための入口として狙われることもあります。
つまり、「会社が小さいから安全」という考え方は、現在のサイバー攻撃には通用しにくくなっています。
最新傾向1:ランサムウェア被害は引き続き大きな脅威
中小企業が特に注意したい攻撃のひとつが、ランサムウェアです。
ランサムウェアとは、パソコンやサーバー内のデータを勝手に暗号化し、 元に戻すことと引き換えに金銭を要求する悪質な攻撃です。
被害に遭うと、次のような問題が発生する可能性があります。
- 業務データが開けなくなる
- 請求書や顧客情報が使えなくなる
- 会計ソフトや販売管理ソフトが使えなくなる
- 社内共有フォルダやNASのデータが暗号化される
- 業務停止や取引先対応の遅れにつながる
- 情報漏えいの可能性が発生する
近年のランサムウェアは、単にデータを暗号化するだけではありません。
先に社内データを盗み出し、「支払わなければ情報を公開する」と脅す手口もあります。
中小企業では、バックアップが十分に取れていない、復元テストをしていない、 NASや共有フォルダまで同時に被害を受ける、といったケースも考えられます。
そのため、ランサムウェア対策では、ウイルス対策ソフトだけでなく、バックアップ、更新管理、アクセス権限の見直しが重要です。
最新傾向2:取引先や委託先を経由した攻撃
最近では、攻撃者が直接大企業を狙うのではなく、取引先や委託先など、比較的セキュリティ対策が弱い会社を狙うケースもあります。
これは、サプライチェーン攻撃と呼ばれる手口です。
たとえば、次のような形で被害が広がる可能性があります。
- 取引先を装ったメールが送られてくる
- 委託先のアカウントが乗っ取られる
- 共有しているクラウドサービスから情報が漏れる
- 納品データや請求書ファイルに不正なファイルが混入する
- 取引先とのメール履歴を悪用される
中小企業は、大企業や公共機関の取引先として重要な情報を扱っている場合があります。
そのため、自社だけの問題ではなく、取引先からの信頼維持という意味でもセキュリティ対策が必要です。
「小さな会社だから関係ない」ではなく、 「取引先に迷惑をかけないためにも最低限の対策が必要」と考えることが大切です。
最新傾向3:フィッシングメールやなりすましメールの巧妙化
フィッシングメールやなりすましメールも、引き続き注意が必要です。
最近のメールは、以前のように日本語が不自然なものばかりではありません。
生成AIの普及により、自然な日本語の文章を使ったメールや、 実在する会社・サービスを装ったメールが作られやすくなっています。
たとえば、次のようなメールには注意が必要です。
- 請求書や見積書を装った添付ファイル付きメール
- Microsoft 365やGoogleアカウントの警告を装ったメール
- 宅配業者や金融機関を装った通知メール
- 取引先を装った振込先変更依頼
- セキュリティ警告を装って偽サイトへ誘導するメール
- 社長や上司を装って送金を依頼するメール
メール本文が自然でも、リンク先が偽サイトである可能性があります。
特に、メール内のURLをクリックしてIDやパスワードを入力する操作は慎重に行う必要があります。
中小企業では、メール確認や請求処理を少人数で担当していることが多いため、 担当者が一人で判断しない仕組みを作ることも大切です。
最新傾向4:古い機器やソフトウェアの脆弱性を狙う攻撃
サイバー攻撃では、古いソフトウェアやネットワーク機器の脆弱性が狙われることがあります。
脆弱性とは、ソフトウェアや機器に存在するセキュリティ上の弱点のことです。
たとえば、次のようなものが攻撃対象になる可能性があります。
- 古いWindows PC
- 更新されていない業務ソフト
- サポート期限が切れたOS
- 古いルーターやVPN機器
- 更新されていないNAS
- 放置されたWordPressやプラグイン
- 初期設定のまま使われているネットワーク機器
中小企業では、業務ソフトの都合で古いPCを使い続けているケースや、 ルーター・NAS・複合機などの設定を長期間見直していないケースがあります。
普段問題なく使えているように見えても、サポート切れや更新漏れがあると、 攻撃者にとって侵入口になる可能性があります。
そのため、パソコンだけでなく、ネットワーク機器やWebサイトも含めて定期的に確認することが重要です。
最新傾向5:クラウドサービスやアカウントの乗っ取り
Microsoft 365、Google Workspace、クラウドストレージ、会計ソフト、業務システムなど、 中小企業でもクラウドサービスを使う機会が増えています。
クラウドサービスは便利ですが、アカウントが乗っ取られると大きな被害につながる可能性があります。
たとえば、次のようなリスクがあります。
- メールアカウントを悪用される
- 社内ファイルを外部から閲覧される
- 顧客情報や請求書データが流出する
- 取引先へなりすましメールを送られる
- クラウド上のデータを削除される
- 管理者権限を悪用される
特に、パスワードを使い回している場合や、多要素認証を設定していない場合は注意が必要です。
クラウド化を進める場合は、便利さだけでなく、アカウント管理や権限管理もあわせて見直す必要があります。
中小企業がまず確認したい基本対策
サイバー攻撃への対策というと、高額なセキュリティ製品を導入しなければならないと思われがちです。
もちろん専門的な対策が必要な場合もありますが、まずは基本的な管理を徹底することが重要です。
1. Windows Updateやソフトウェア更新を放置しない
パソコンやソフトウェアの更新は、セキュリティ対策の基本です。
Windows Update、ブラウザ、Office、PDF閲覧ソフト、業務ソフトなどをできるだけ最新の状態に保ちましょう。
特に、長期間再起動していないPCや、更新が失敗したまま放置されているPCには注意が必要です。
2. 重要データのバックアップを確認する
ランサムウェアや機器故障に備えるには、バックアップが重要です。
ただし、バックアップは「取っているつもり」では不十分です。
次の点を確認しましょう。
- 何をバックアップしているか
- どこに保存しているか
- どの頻度でバックアップしているか
- 過去のデータに戻せるか
- 実際に復元できるか
バックアップ先が常に社内ネットワークにつながっている場合、ランサムウェア被害時に同時に暗号化される可能性もあります。
重要なデータは、複数の場所に保管することも検討しましょう。
3. パスワードと多要素認証を見直す
メールやクラウドサービスのアカウントは、業務上非常に重要です。
短いパスワードや使い回しのパスワードは避けましょう。
可能であれば、Microsoft 365、Googleアカウント、クラウドストレージ、会計ソフトなどには多要素認証を設定することをおすすめします。
また、退職者や使っていないアカウントが残っていないかも確認が必要です。
4. 不審なメールを開かないルールを共有する
メールによる攻撃は、担当者一人の注意だけでは防ぎきれません。
社内で最低限、次のようなルールを共有しておくと安心です。
- 不審な添付ファイルを開かない
- メール内のリンクからIDやパスワードを入力しない
- 振込先変更の依頼は電話など別の方法で確認する
- 社長や上司からの急な送金依頼も確認する
- 判断に迷うメールは一人で処理しない
5. 社内のIT資産を一覧化する
どのPCを誰が使っているのか、どのソフトが入っているのか、 どのアカウントが有効なのかを把握できていないと、対策が後手に回ります。
まずは、次のような情報を一覧化することから始めましょう。
- パソコンの利用者
- OSのバージョン
- セキュリティソフトの状態
- 業務ソフトの利用状況
- メールやクラウドアカウント
- バックアップの有無
- ネットワーク機器やNASの情報
IT資産を見える化することで、古いPCや不要なアカウント、更新漏れを見つけやすくなります。
中小企業では「完璧」よりも「継続的な見直し」が大切
サイバー攻撃の手口は日々変化しています。
そのため、一度対策したら終わりではありません。
中小企業では、最初から完璧なセキュリティ体制を作ろうとするよりも、 できるところから確認し、継続的に見直していくことが大切です。
たとえば、月に一度だけでも次のような確認を行うと、リスクを下げやすくなります。
- Windows Updateの状態を確認する
- セキュリティソフトが有効か確認する
- バックアップが正常に動いているか確認する
- 不要なアカウントが残っていないか確認する
- 不審なメールの事例を社内で共有する
小さな確認を継続することが、大きな被害を防ぐための第一歩になります。
まとめ
中小企業も、サイバー攻撃の対象になっています。
特に、ランサムウェア、取引先を経由した攻撃、フィッシングメール、脆弱性を悪用した攻撃、 クラウドアカウントの乗っ取りなどには注意が必要です。
「うちは小さいから大丈夫」と考えるのではなく、 「小さい会社だからこそ、最低限の対策を整理しておく」と考えることが重要です。
まずは、Windows Update、バックアップ、パスワード管理、多要素認証、メール対策、IT資産管理など、 基本的なところから確認していきましょう。
サイバー攻撃への対策は、一度で完璧にするものではありません。
自社の状況を把握し、できるところから継続的に見直していくことが大切です。
IT顧問のITAでは、中小企業のセキュリティ対策を支援しています
IT顧問のITAでは、八王子市を中心に、中小企業・小規模事業所様のIT環境をサポートしています。
「社内にIT担当者がいない」
「セキュリティ対策が十分か不安」
「バックアップやパソコン管理を見直したい」
「不審なメールやウイルス対策について相談したい」
このようなお悩みがありましたら、お気軽にご相談ください。
パソコン管理、ネットワーク、セキュリティ対策、バックアップ、メール設定、IT資産管理など、 会社の状況に合わせて無理のない対策をご提案いたします。
