IPAが発表した「情報セキュリティ10大脅威 2025(組織)」でも、「ランサム攻撃による被害」が1位となっている。IPAは2014年から10大脅威を発表しているが、ランサムウェアが初めてランキングに入ったのは16年版だ。
ランサムウェア攻撃は、システムに侵入してデータを暗号化し、使えない状態にしたうえで、データ復旧と引き換えに身代金を要求する手法だ。
最近では、社外秘などの重要データを窃取したうえで、それらを含む広範なデータを暗号化し、社外秘のデータの公開をちらつかせて身代金を脅し取ろうとするケースもある。
データの暗号化と公開という2種類の脅しが行われることから、「二重脅迫型ランサムウェア攻撃」と呼ばれる。いま、このタイプの攻撃が増えている。
ランサムウェア攻撃は、時に事業継続にも深刻な打撃を与える。事業継続のリスクは、経営のリスクそのものである。
狙われる企業の役職員
ビジネスメール詐欺の脅威
ランサムウェア攻撃とは少し性質が異なるが、経営者が知っておくべきサイバー攻撃として、IPAの「情報セキュリティ10大脅威 2025(組織)」で9位に位置づけられた「ビジネスメール詐欺」による金銭被害についても見ておきたい。
近年、自社や関連会社、取引先などの幹部や担当者を装い、金銭を騙し取るという事件が増えている。
攻撃の準備段階ではSNSなどを利用して情報を収集。ターゲットの知人の名を詐称して、もっともらしいメールを送付する。取引先からの請求書を偽造してメールに添付する、あるいは、経営者になりすまして経理担当者に「重要な投資だ。すぐに現金が必要だ」といった内容のメールを送ることもある。
後者のケースでは、あらかじめ担当者に「本日午後、重要な投資案件が決まる可能性がある。
指示はメールで送る。内々に進めている案件なので、この情報は極秘とする」といった内容のメールを午前中に送っておく。このひと手間で、経理担当者が経営者本人からのメールと誤認し、攻撃者指定の口座に振り込む可能性が高まる。
担当者が取引先や経営者に直接確認すれば、こうした被害は防ぐことができるはずだ。発信元のメールアドレスをその都度確認する習慣も大事だろう。ただ、見落としなどのミスは、一定の確率で起きるものだ。多くの企業に詐欺メールを送れば、1、2社くらいは騙せるだろうというのが攻撃者の目論見である。
警察庁と金融庁は2023年12月に、同年11月末までのネットバンキングを使った不正送金の被害総額が約80億円だったと発表した。発生件数は5147件。総額と件数のいずれもが、前年の5倍近くにまで増加したという。
この発表に際して、警察庁は「金融機関を装ったフィッシングサイトへ誘導する電子メールが多数確認されている」と注意を喚起している。
ビジネスメール詐欺の発展形というべきだろうか、中国ではAIを使った詐欺が報告されている。詐欺師はAIを使ってターゲットの友人の顔と声を複製し、ビデオ通話で「別の友人がいますぐ現金を必要としている。自分の手元にはいま現金がないので、立て替えてくれないか」といった内容の話をする。
被害者はこの話を信じた。AIでなりすまされた友人は資産家なので、用立てたお金はすぐに戻ってくると思ったのだろう。被害者は指定口座に430万元(約8400万円)を送金したが、警察の捜査によってその8割ほどが回収されたとのこと。AIの急速な進化を受けて、この種の犯罪はますます増加するに違いない。
