猛威を振るうランサム攻撃への対処

皆さん、こんにちは。

ランサムウェア（身代金要求型コンピュータウィルス）によるサイバー攻撃が猛威を振るっています。

9月29日にはアサヒビールなどを提供するアサヒグループホールディングスがハッカー集団「Qilin（キリン）」を名乗るグループによるサイバー攻撃を受け、商品の受注や出荷ができなくなり、本日現在もまだ現場社員の手作業による調整で必死に出荷を続けているそうで、解決の見通しは立っていません。

また10月19日には法人向けオフィス用品等の通販を手掛けるアスクルが攻撃を受け、物流システムが停止。

個人向け通販のLOHACO（ロハコ）の他、同社の物流システムを利用している無印良品なども影響を受け、こちらも本日現在まだ復旧の目途は立っていません。

こうしたサイバー攻撃への事前対応について、このニュースレターでも何度か取り上げていますが、改めて確認したいと思います。

◇以前の記事「中小企業様におけるサイバーセキュリティ対策三箇条」（2023/5/15）

◇以前の記事「頻発するサイバー攻撃から身を守るには」（2025/2/10）

◇以前の記事「IoT機器のセキュリティ認証制度」（2025/6/10）

中小企業も狙われているランサム攻撃

2024年6月にはKADOKAWAグループとその傘下のドワンゴ（ニコニコ動画などを運営）がランサム攻撃を受け、再稼働まで数ヶ月を要する甚大な被害を受けました。

KADOKAWAおよびドワンゴの社長である夏目剛氏（元NTTドコモ執行役員）は、今年6月のイベントで当時の状況を振り返り、「マジで大変でした」、「セキュリティは他人ごとじゃない」、「どれだけの準備をしても、しすぎるということはない」と語っています。

◇ITmedia「ドワンゴ夏野社長、ニコニコのAWS移行と、サイバー攻撃を振り返る」（2025/6/28）

狙われているのは大企業だけではありません。

2022年3月にはトヨタ自動車の取引先企業がランサム攻撃を受けた影響で、トヨタ自動車の部品調達に影響が出て、トヨタを始め、傘下の日野自動車、ダイハツ工業を含む国内全工場のラインを停止する事態となりました。

攻撃を受けた取引先企業は従業員1,500名、売上高2,000億円を超える企業ですから、中小企業とは言えませんが、名の通った大手企業だけでなく、その取引先を狙うことでサプライチェーンを攻撃するという手口も行われていることに注意が必要です。

今回大きな影響を受けているアサヒグループHDは、IT活用の先進企業として、セキュリティ対策が進んでいると定評のある会社でした。

それにも関わらず、これだけの被害を受け、四半期決算発表を延期し、ビール類の小売りシェアトップの座をキリンビールに明け渡すまでに至ったことに、サイバー攻撃の深刻さを感じさせます。

対策はあくまで基本の徹底

アサヒグループHDほどの対策をしていても防げないとなると頭を抱えてしまいますが、そのために多大なコストをかけるわけにもいかない中小企業にとって、とり得る対策は、基本の徹底しかありません。

冒頭に挙げたニュースレター記事「中小企業様におけるサイバーセキュリティ対策三箇条」は、今でも有効な基本事項です。

①   アップデートはこまめに

②   フィッシングメールにだまされない

③   適切なウィルス対策ツールを利用する

①のアップデートについては、脆弱性が見つかり、対策プログラムが提供されたら、なるべく早くアップデートしましょう。

ハッカーは脆弱性が見つかった後、対策が適用されるまでの僅かなタイムラグを突いて攻撃してくると言われており、これを「ゼロデイ攻撃」と言います。

Windows10のサポートが10月14日をもって終了しましたが、すでにWindows11への切替えはお済みでしょうか？

国内でまだ1,200万台ものWindows10パソコンが残っていると推定されているそうで、サイバー攻撃に対する修正プログラムの提供もすでに停止されており、標的となる危険が大ですので、早急な切替えが必要です。

また、ランサム攻撃は特にVPN機器やソフトウェアから不正侵入されて乗っ取られるケースが全体の半数以上を占めると言われており、CiscoやFortiGateなどのVPN機器、あるいはVPNソフトウェアを使っている場合には、特にアップデートに気を付けましょう。

ID／パスワードの管理やパソコン以外の機器にも注意を

VPNが不正侵入の突破口になりやすいのは、VPNが、遮断ではなく、正規ユーザを中に入れるための仕組みという特性によります。

従って正規ユーザのIDやパスワードが外部に流出すると、たやすく侵入を許してしまう危険性が高まります。

②のフィッシングメールにだまされて、ID／パスワードが流出すると不正侵入につながりますので、特に注意が必要です。

単純なパスワード方式だけでなく、二段階認証や生体認証を組み合わせて、本人確認性を高めることも有効な対策です。

また意外に、人間がサイバー攻撃の原因というケースが多いのも現実です。

退職者とか業務委託先の社員が情報を持ち出して流出するという事件も、ときどき耳にしますよね。

会社としての情報セキュリティ規程をきちんと定め、管理を徹底することも重要です。

さらに、どうしてもパソコンやスマートフォンからの侵入に目が行きがちですが、ルーターや複合機、監視カメラなど、ネットワークにつながっている非パソコン系の機器にも注意が必要です。

冒頭に挙げた過去のニュースレター記事「IoT機器のセキュリティ認証制度」（2025/6/10）に詳しく述べていますが、こうしたいわゆるIoT機器にも「JC-STAR認証制度」が始まっていますので、このような基準に適合した機器を選定し、正しく設定しておくべきでしょう。

ハッカーとの攻防はいたちごっこであり、100％万全の対策は望めないのが実態です。

しかしながら、少なくともこうした基本的な対策を徹底しておくことで、狙われる可能性はかなり抑えられると思います。

「後悔先に立たず」、── 被害に合ってから悔やむことのないよう、日ごろの備えをしっかりしておきましょう。

「社外DX担当部長」として、こうしたセキュリティ対策のご相談にも対応致しますので、お気軽にお問合せ下さい。

それでは今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせしますので、こちらのデジタルビズ・トップページより、ぜひ配信登録をお願い致します。