左から秋山進氏、松原実穂子氏 Photo:Diamond
人気連載『組織の病気』の著者、秋山進氏が防衛省出身でサイバーセキュリティの専門家であり、『ウクライナ企業の死闘』の著者でもある、NTTチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏と対談。後編では、実はほとんどの中小企業がサイバー攻撃を受けているという驚きの事実も飛び出した。さらに、中小企業は予算のない中でどのような手を打てばいいか、そして個人でできる対策までが話題にのぼった。
>>前編は『「台湾有事の前哨戦」はもう始まっている?日本がウクライナに学ぶべき戦争への備え方』
ランサムウェアは会社の話でしょ…と思いきや、個人が狙われるケースも
秋山進氏(以下、秋山) 日本の大企業では、どのようなサイバー対策をしているのでしょうか。
松原実穂子氏(以下、松原) 大手ですと、自前でレッドチーム(敵側の視点に立って実際にサイバー攻撃を仕掛けて防御の穴を見つけ、サイバーセキュリティ対策の強化に寄与する専門家チーム)を持っているところもおありです。
自前で持てない会社でも、サービスとして外注し、レッドチームに自社のセキュリティ体制を調べてもらうところもありますね。防御の視点だけでは見落としていた弱点が、攻撃者の視点によって初めて見つかることもあります。
ただし、IT資産が爆発的に増えている現在、サイバーセキュリティ体制は複雑化し、攻撃者の侵入を100%防ぐことは不可能になってきました。
重要なのは、侵入をなるべく防ぎつつ、万が一侵入された場合、速やかに検知し、ランサムウェア攻撃などで業務が止まった場合に復旧する体制を整えることです。そのためには、対応計画を作成しておくだけでなく、経営者も入れたサイバー攻撃対応演習を定期的に実施し、対応計画の見直しを続けていかなければなりません。
最近のランサムウェア攻撃では、大企業が身代金を支払わないため、サイバーセキュリティ対策の弱い中小企業の方が狙われがちです。また、大企業でも社内システム全体に感染を広げるのではなく、特定の個人だけを狙う場合もあります。身代金を支払う可能性が高い弱者を標的にしているのです。
例えば、職場でお使いの自分のパソコンがフリーズし、解除するためには5万円の身代金を払えという要求画面が表示された時、どうしますか。周りの同僚たちが普通に仕事をしているのを見て、どうやら自分だけが感染したらしい、身代金を今支払ってしまえば問題が解決できると考えてしまう人もいます。
秋山 大いにありそうなことです(笑)。
松原 会社に内緒にしたいという会社員たちの心理を攻撃者は悪用し、次の攻撃に使う足掛かりを社内ネットワークに残します。しかも、ランサムウェア攻撃はビジネスとして行なっているため、攻撃者は、相手が払える程度の絶妙な金額設定をしているのです。
秋山 確かに5万円は高い……高いけれど、会社人生が平穏に済むなら、払ってしまうかもしれませんね。大企業の社員が内通しているケースもあると聞いたことがあります。
松原 ランサムウェア攻撃者が標的とする企業の社員に連絡し、報酬と引き換えに攻撃の手伝いを依頼することがあります。英BBCが2025年9月29日に報じた事例ですが、BBCの記者にランサムウェア攻撃者から「あなたのパソコンにアクセスさせてくれれば、得られた身代金の15%を支払う」という提案が送られてきました。たまたま提案を受け取った記者はサイバーセキュリティを専門としており、攻撃者とのやり取りを記事にしています。こうした勧誘は他にもあります。
秋山 そういった内部の不正はどのように摘発すればいいのでしょう。
