標的型攻撃の対象として中小企業が狙われる理由
かつては大企業や公的機関がサイバー攻撃の主な標的でした。しかし、度重なる攻撃を受けてセキュリティ対策を強化する企業が増え、攻撃者にとって侵入が難しくなってきています。その結果、攻撃者はターゲットを大企業や公的機関から中小企業へとシフトさせています。
中小企業の多くはサイバー攻撃に対するリスク認識が不十分で、大企業に比べてセキュリティ対策が甘い傾向があります。これは「自社には狙われるような価値ある情報はない」と考えがちな意識に起因します。
この油断を突いて、攻撃者は大企業と取引のある中小企業を踏み台にし、大企業のシステム侵入を狙うのです。
中小企業における標的型攻撃の特徴
中小企業を狙った標的型攻撃には、いくつかの特徴的な手口があります。ここでは代表的な2つを紹介します。
取引先を装った標的型メールで自社を攻撃
不特定多数に送られる迷惑メールとは異なり、標的型攻撃メールは取引先の社員名や件名を偽装して送られます。受信者に違和感を抱かせない巧妙な文面で、ウイルスを仕込んだファイルやリンクをクリックさせようとするのです。
特に「重要」「緊急」といった言葉を使ってメールを開かせ、クリックさせることで感染させるケースが目立ちます。一度感染すると、攻撃者が遠隔操作して機密情報を盗み出す危険があります。
さらに、標的型攻撃で使用されるウイルスは、従来のウイルス対策ソフトでは検知されにくいものが多く、感染に気付かず深刻な被害へとつながる恐れがあります。
自社を踏み台にして取引先を狙うサプライチェーン攻撃
セキュリティ対策が不十分な中小企業は、サプライチェーン攻撃の「入口」として狙われやすい存在です。サプライチェーン攻撃とは、大企業を直接狙うのではなく、部品や原材料を供給する協力会社(多くは中小企業)に攻撃を仕掛ける手口です。
攻撃者は中小企業に標的型メールを送り込み、気付かないうちにウイルス感染させます。その結果、取引先へ感染メールを送ってしまい、被害者である中小企業が加害者となってしまうケースもあります。
大企業と直接取引がなくても、協力企業を介して被害が拡大する恐れがあるため、注意が必要です。
参考:中小企業の実態判明 サイバー攻撃の7割は取引先へも影響|経済産業省
中小企業における標的型攻撃の事例
中小企業を狙った標的型攻撃は、実際に深刻な被害をもたらしています。ここでは、大阪商工会議所が2022年にまとめた調査「中小企業におけるサイバー攻撃の実態と対処能力の向上」をもとに、具体的な事例を紹介します。
- ■金属製品製造業(大阪府・従業員10~20人)
- 海外から管理者パスワードを使って不正ログインされ、パソコンが遠隔操作されていた。同社には海外拠点も取引先もなく、攻撃経路が不明のまま被害が発生した。
- ■医療用器具製造業(大阪府・従業員80~90人)
- バックドア型ウイルス「Gh0stRAT」に感染し、外部の悪性サーバからの指令通信が検知された。
- ■機械製造業(大阪府・従業員100~150人)
- ランサムウェアによる攻撃を受け、復旧のために約2,000万円の被害が発生した。
- ■化学品卸売業(大阪府・従業員70~80人)
- 社員のメールアドレスが悪用され、大量のスパムメールが送信された。その結果、取引先のメールサーバに自社ドメインが迷惑メールとして登録され、業務に支障をきたした。
これらの事例からもわかるように、標的型攻撃は中小企業にとって決して他人事ではなく、経営や取引先との関係に大きな影響を及ぼす可能性があります。
参考:中小企業におけるサイバー攻撃 の実態と対処能力の向上|大阪商工会議所 経営情報センター
中小企業における標的型攻撃対策の3つのポイント
中小企業が標的型攻撃から身を守るには、どのような対策を行えばよいのでしょうか。ここでは特に重要な3つのポイントを紹介します。
基本的なセキュリティ対策を徹底する
中小企業はコストや人材面の制約から高度なセキュリティ対策を導入しにくい傾向があります。しかし、基本的な対策を徹底するだけでも、標的型攻撃の被害リスクを大幅に減らせます。具体的には以下の取り組みが効果的です。
- ■OSやソフトウエアを常に最新に保つ
- 業務で使用するパソコンやスマートフォン、各種アプリを定期的にアップデートし、脆弱性を解消する
- ■ウイルス対策ソフトを導入・更新する
- 信頼できるウイルス対策ソフトを導入し、定義ファイルを常に最新の状態に保つ
- ■強固なパスワードを設定する
- 英数字や記号を組み合わせた10文字以上のパスワードを使用し、使い回しを避ける
- ■データ共有の設定を見直す
- 外部ストレージを利用する際は、ログイン制限やアクセス権限を設定する
社員へのセキュリティ教育を徹底する
標的型攻撃の多くは「なりすましメール」による侵入からはじまります。そのため、社員教育が極めて重要です。疑似メールを用いた訓練や、よく使われる攻撃パターンの共有を通じて、社員が不審なメールを見抜けるようにしましょう。
また、万が一メールを開封してしまった場合に備え、初動対応の手順を明確にすることも不可欠です。セキュリティポリシーを整備し、報告・対応フローを全社員に周知することで、被害の拡大を防げます。
標的型攻撃対策ツールを導入する
基本対策と社員教育に加え、専用のセキュリティツールを導入することで、より強固な防御体制を構築できます。標的型攻撃対策ツールは、メールのフィルタリングや不審通信の検知など、多層的な防御を可能にします。
以下の記事では、搭載機能ごとの分類や特徴・価格を比較しています。導入を検討している方はぜひ参考にしてください。
【ITトレンド調査】迷ったらコレ!従業員規模別に見る人気製品
自社に合ったシステムを選ぶうえで参考になるのが、「同じくらいの従業員規模の会社がどの製品を選んでいるか」 という実績データです。従業員数が近い企業は、抱えている課題や求める機能も似ているケースが多く、選ばれている製品をチェックすることでミスマッチを防ぎやすくなります。
ここでは、ITトレンドの独自データを参考にした、従業員規模別(10〜50名/50〜100名/100〜250名)人気製品をご紹介します。 「どの製品を請求すればよいか分からない」と迷ったときの参考にしてください。
従業員10〜50名規模の企業に人気の製品
小規模な企業では、まずは手軽に始められることが重視され、低コストで導入しやすい標的型攻撃対策ツールが選ばれる傾向にあります。特に「情報漏えい防ぐくん」や「SKYSEA Client View」のように安心して使える実績ある製品が支持され、さらに「IIJセキュアMXサービス」のようなクラウド型の手軽さも注目されています。
従業員50〜100名規模の企業に人気の製品
この規模では、従業員数の増加に伴い、一定の実績を持つ訓練型メール対策ツールが特に支持されます。代表的なのは「情報漏えい防ぐくん」や「SKYSEA Client View」で、運用のしやすさから「IIJセキュアMXサービス」も選ばれています。また、新しい選択肢として「Selphish」が登場しており、実績と利便性に加えて新規サービスを積極的に検討する姿勢が見られます。
従業員100〜250名規模の企業に人気の製品
この規模では、従業員数が増えることでセキュリティ教育や訓練の体系化が求められ、実践的なメール訓練サービスを重視する傾向が強まります。特に「dmt」のように初めてでも取り組みやすい訓練ツールが選ばれ、安定感のある「情報漏えい防ぐくん」「SKYSEA Client View」も支持されています。さらに、クラウドでの効率的な運用や「Selphish」といった新興サービスも検討対象となり、教育効果と運用負担軽減を両立できる製品が求められているのが特徴です。
中小企業向けの対策をして、標的型攻撃から会社を守ろう
中小企業が標的型攻撃に狙われる大きな理由は、セキュリティ対策の甘さにあります。攻撃者はその弱点を突き、メールを悪用したウイルス感染やサプライチェーン攻撃を仕掛けてきます。
こうした脅威に備えるには、基本的なセキュリティ対策の徹底・社員教育の強化・専用ツールの導入という3つの取り組みが欠かせません。これらを組み合わせることで、被害を未然に防ぐ可能性を高められます。
まずは自社の現状を把握し、導入できる対策ツールを比較検討することからはじめましょう。以下の資料請求サービスを活用すれば、複数の標的型攻撃対策ツールを効率的に比較できます。自社にあった対策を整え、取引先や会社の信頼を守ってください。
