サイバー攻撃:中小企業は狙われない?
2019.10.01 齋藤孝道
米国での調査(2018年公開)によると、サイバー攻撃の43%は中小企業を標的にしていることが明らかになりました[1]。
ちなみに、その調査によると、平均的なWebサイトに対し1日あたり62件のサイバー攻撃があるそうです。
また、万が一、不正侵入やマルウェアの感染があった場合、バックドアをWebサイトに仕込まれてしまうことがありますが、2018年に不正侵入やマルウェア感染を許したWebサイトの50%がバックドアを仕込まれていたそうです。
さて、それでは、日本の状況はどうでしょうか。
大阪商工会議所が行ったアンケート調査(2018年公開)によると、25%の中小企業がセキュリティの被害を受け、そのうちの18%が標的型攻撃メールを受信していたとのことでした[2]。
ここで、標的型攻撃とは、まさに攻撃の標的(ターゲット)となる組織を絞った上で、事前に入念な調査や、専用のマルウェアを用意するなど、様々な準備をし、個人情報を摂取するなどの目的を達成するタイプの攻撃をいいます。2011年ごろから国内でも被害事例が大きく取り上げられるようになったようです。それまで一般的であった不特定多数を狙う「バラマキ型攻撃」とは違って、事実上、不正侵入やマルウェア感染を防ぐことができな いタイプの攻撃とされています。
さらに別の調査でも、サイバー攻撃の被害は大手企業だけではないことが報告されています。
2017年の調査で、インターネットメディアで3,532件(規模不明を除く)のセキュリティ
インシデントが確認されたそうですが、図1のように、セキュリティインシデントの被害は、企業規模には関係がなく、件数だけ見てみると、中小企業の方が多かったと報告されています。
(2018年公開、明治大学理工学部情報セキュリティ研究室調べ)
図1 企業規模ごとのセキュリティインシデントの被害件数
(2018年公開、明治大学理工学部情報セキュリティ研究室調べ)
図1は企業規模別の報告被害件数を示しています。この調査はサイバー攻撃だけでなく、社員のミスなども含まれる訳ですが、大企業のみならず、中小企業においてもインシデントが一定数発生していることが推察されます。
以上からお分かりにように、「サイバー攻撃なんてウチには関係ない。狙われるのは大手 だけでしょ?」という認識は再考の余地がありそうです。
「でも、我が社にはサイバー攻撃来ていないよ。」
実は、サイバー攻撃気がついていない可能性があります。
「標的型攻撃」の場合、「バラマキ型攻撃」とは違って、マルウェアを目立たないように紛れ込ませたり、侵入の痕跡を残さないようにしたりします。こうしたマルウェアの感染や攻撃者の侵入に「気が付いていない」企業は非常に多いとされています。
米国企業における調査では、侵入から脅威が検知されるまでかかる平均日数は140日以上という報告もあります。
その一方で、国内セキュリティ企業が行った調査によると、標的型攻撃の検知まで日本企業の場合は平均7ヶ月掛かるとの調査結果があります。
セキュリティ専門家によっては「(不正な侵入の検知までに)2年以上掛かるケースがほとんど」という言葉もあります。
さらに、残念な事実として、「自力(自社)でサイバー攻撃を検知できる企業が3割」と言うことです。
これは、サイバー攻撃を受け、氏名、住所やクレジットカード情報などが自社サイトから盗み出されているのにも関わらず、「被害企業」がそれに気がつかないことがあるという
ことです。
最近は、「SNSでの炎上」によるサイバー攻撃・被害の発覚が少なくありません。
2017年に国内で発生したWebアプリケーションの脆弱性に伴う情報漏洩のケースでは、攻撃を受けた企業の認知より先に、その企業の顧客のクレジットカード情報の不正利用などの話題が飛び交い、SNSで「炎上」となりました。
その結果、被害企業の対応が後手後手に回ってしまったような印象を世間に与えてしまったようです。
[1]
https://www.prnewswire.com/news-releases/43-of-cyberattacks-target-small-businesses-300729384.html
[2] https://news.mynavi.jp/article/20180601-639919/