中小企業のサイバー事案は、全経営者が知っておきたい(写真:Luce/PIXTA)

数年前、「ビットコインってなんですの?」と、ある中小企業経営者のAさんが、私が所属する大阪商工会議所に相談に来た。相談員はその概要を説明したが、そもそもなぜビットコインが必要になったか聞くと、Aさんはこう答えたという。

「いきなりパソコンが動かなくなって、ビットコインで払ったら直ると出てきてん。だからどうやったら手に入るんか、知りたいんですねん」

Aさんは、身代金を要求されていることに気づいていなかった。しかし、Aさんの危機管理意識の低さが珍しいわけではない。

「中小企業は狙われない」と油断する経営者たち

中小企業の経営者とサイバー攻撃について話すと、たいてい次の3つの発言に行き着く。

「当社のような名もない中小企業は狙われない」「自分はITに疎いので部下やベンダーに任せている」「売り上げを生まないセキュリティにお金をかけられない」――いずれも、サイバー攻撃やその被害に対するリアリティの実感と当事者意識の希薄さが垣間見える。意識の低さは知識の不足に起因し、知識の不足は情報の不足に由来すると言えよう。

こうした状況から、私たちのような支援機関も、サイバーセキュリティ関連のセミナーを実施して情報発信するのだが、集客に苦労するうえ実施効果の測定も困難なため、積極的に開催しづらいのが実情である。

メディアも大企業などへのサイバー攻撃は報道するが、中小企業の事案はほとんど取り上げない。かくして中小企業におけるサイバー攻撃の「知識・意識・対策」は低調なまま推移する一方で、攻撃者の手口は「多様化・高度化・巧妙化」し、両者の非対称性は増大の一途をたどっている。

ベライゾンの「2023年度 データ漏洩/侵害調査報告書」によると、昨今のサイバー攻撃の97%は金銭目的だ。それゆえ攻撃者は、中小企業を個別に吟味して攻撃の是非を判断することはないだろう。例えば外観的には「標的型攻撃メール」であっても、その実態は「バラマキ型の絨毯爆撃メール」であり、油断すべきではない。

「Word Press」で構築したホームページも要注意

昨今、ウイルスメールやランサムウェアが増加しているが、ウェブサイトの改ざんや乗っ取りといった古典的攻撃も少なくない。

例えば2023年8月末、鹿児島王将は、第三者にHP(ホームぺージ)を改ざんされ、実在する弁護士事務所の名で「破産手続きを開始した」という事実無根の記載をされてしまった。


東洋経済Tech×サイバーセキュリティのトップページはこちら

2023年12月には大阪商工会議所にも、大阪府内の小売業B社(社員約20人)から、HPが乗っ取られたとの相談が寄せられた。B社のHPにアクセスすると、詐欺サイトと推定される通販サイトが表示される。担当者は「なぜ狙われたのかわからない。警察からの連絡で初めてわかった。パスワードが甘かった点は自覚している」と腑に落ちない様子だった。

実は、鹿児島王将とB社には共通点がある。両社ともに、HPがWord Pressという簡便な無料ソフトを用いて構築されていたのだ。

Word Pressの脆弱性は、大阪商工会議所と立命館大学の「中小企業等のホームページ脆弱性診断」でも明らかになっている。これは2023年秋に、22都道府県の中小企業111社の、Word Pressで構築された192のHPを対象に実施した共同調査だ。

詳細は2024年1月末に発表しているが、概要は以下のとおりである。

(1)Word Pressのバージョンが古いサイトは6%
(2)ユーザーリストが露出していたサイトは78%
(3)ログインページが露出していたサイトは77%
(4)(2)・(3)両方に該当する高リスク群は66%

HPの管理や編集が可能なユーザーのリストがインターネット上に露出すると、どうなるか。

そこから露出したユーザー名(個人名やadminである場合が多い)と企業のドメイン(会社名そのままである場合が多い)を組み合わせると、メールアドレスの推定が容易になってしまう。加えて、「P@ssw0rd」のようにパスワードの設定が甘いと、露出しているログインページから不正アクセスされ、改ざんや不正プログラムの埋め込みなどが行われてしまうリスクが高まる。

日本の中小企業数は約336万社(中小企業庁の2021年6月時点集計結果)だ。また、HPを有する中小企業は67.4%(IPAの2021年度調査)、国内のWord Pressのシェアは82.1%(W3Techs2023年11月調査)とされている。

これらの数字を基に試算してみると、Word PressでHPを構築している中小企業は約186万社に上る。これに、われわれの共同調査で判明した高リスク群の割合66%を当てはめてみると、約122万社(中小企業の約36%)のHPが潜在的リスクを抱えているとの推計も成り立つ。

被害を拡大させないためにも、定期的に自社HPの掲載内容を点検するほか、作成ツールのバージョンの最新化、ユーザーリストやログインページなどが露出しないような設定が必要だ。

背景にあるのは「IT技術の問題」だけではない

情報セキュリティ事故のうち、19%は内部犯行との調査結果(前述のベライゾン調査)もあり、インシデントは「IT技術の問題」であるとともに「労務管理の問題」など人的要因としての側面もある。

2017年に日本航空がビジネスメール詐欺に遭い計3億8000万円の被害を出した件も、経理担当者がニセの振込先に振り込んでしまったことによるもので、請求書の送信者や上司に確認・相談さえしていれば防ぎえたものだ。こうした被害は、「報・連・相の問題」である。

大阪商工会議所でもこんなことがあった。大阪府の建材メーカーC社(社員約40人)で、UTM(多機能防御装置)が悪性通信を観測し、社長が支援を求めてきたときのこと。現場に駆けつけ、被疑端末をIPアドレス(インターネット上の住所)とMACアドレス(各端末の固有番号)を基に探したが、その日は結局見つからなかった。

数日後、社長の連絡により、原因は社長の親族が社屋内の小部屋で開業していた別会社のパソコンにあることが判明。そのパソコンからはウイルスが数百個見つかり即座に駆除した。これはいわゆる「シャドーIT」であり、物理的な資産管理の問題だ。この部分については、ITに疎い経営者も主体的に関与できる余地がある。

サイバー攻撃を完全に防ぐことはできないが、リスクの低減は可能だ。経営者は、対策のお金を「金食い虫の費用」でなく「無駄な費用を防ぐための投資」と捉えるべきだろう。

では、どれくらいお金をかければよいのか。これは各社の経営戦略や情報資産の量・質により異なるので模範解答はないが、日本サイバーセキュリティ・イノベーション委員会は投資の目安を連結売上高の0.5%としており、メリーランド大学の研究では、適正投資額の上限は想定被害額の37%とされている。

何をどこまでやったらいいかわからない中小企業は、IPAの「サイバーセキュリティお助け隊サービス」を利用するといいだろう。国の実証実験を経て実用化されたもので、対策に必要なサービスがパッケージ化されており、安価かつ簡便に利用できる。

現在、40事業者の55サービスが登録されており、大阪商工会議所も「商工会議所サイバーセキュリティお助け隊サービス」というUTMレンタルサービスを全国で提供している。利用企業からは「Emotet(ウイルス)を防いでくれた」などの声が届いている。

大企業の経営者に求められることは?

一方、サプライチェーンの頂点に立つ大企業も認識すべきことがあるだろう。例えば、中小企業がサイバーセキュリティ対策のコストを売価転嫁するのは容易ではない。内的かつ不明瞭な事情であると捉えられがちだからだ。

しかし今や、サイバー攻撃は主に外的要因によるものであり、対策の必要性も明瞭だ。また、発注先の中小企業が受けたサイバー攻撃被害によって、発注元の大企業が2次被害に遭った割合は25%もある(大阪商工会議所の2019年調査)。 

こうしたことを大企業、とくに調達部門はもっと理解すべきだ。2022年に経済産業省と公正取引委員会が公表した文書「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」では、受注側のセキュリティ対策費発生に伴うコスト上昇を取引価格に反映させることについて、発注側が協議・容認しない場合は独禁法違反になると明記されている。

大企業は取引先の中小企業の個別事情に寄り添い、優越的地位の濫用に抵触しない範囲内で、セキュリティ対策やその候補ツールについて助言するとともに、セキュリティコストの売価転嫁にも真摯に応じるべきだろう。

(野田 幹稀 : 大阪商工会議所 経営情報センター 課長)