なぜ中小企業はサイバー攻撃の主な標的となるのか?
中小企業(SMB)は、ますますサイバー犯罪者の標的となりつつありますが、これは決して偶然ではありません。規模こそ小さいものの、こうした組織は、大企業のような強固な保護体制がないまま、貴重なデータを保管していることがよくあります。サイバーセキュリティ予算の不足、ITチームの要員不足、そして"自分たちは目立たない"という誤った認識が相まって、中小企業は特に攻撃を受けやすい状態にあります。この記事では、なぜ中小企業がサイバー攻撃の主要な標的となっているのかを解説します。 SMBのサイバーセキュリティを強化する方法について、ぜひ読み進めてください。
SMBに対するサイバー攻撃が増加している理由
中小企業に対するサイバー攻撃はますます頻発しています。攻撃者がSMBを標的とする理由は複数あります。
- セキュリティレベルの低さ 。ほとんどの攻撃者は、こうした企業のサイバーセキュリティが大手企業よりも脆弱だと考えています。その原因として、専任のITスペシャリストやセキュリティ専門家の不在が挙げられます。 予算の制約も、データ保護対策が不十分であるもう一つの理由として考えられます。
- 価値はあるが脆弱なデータ 。小規模な組織であっても、顧客情報、財務データ、支払い詳細、業務上の通信記録といった重要なデータを管理している場合があります。価値はあるものの保護が不十分なデータは、サイバー犯罪者にとって魅力的な標的となります。彼らはそのデータを売却したり、他の標的に対してより個別化された攻撃を行うために利用したりできるからです。この戦術は"小さな魚をハックして大きな魚を狙う(Hack the small fish to reach the big fish)"と呼ばれています。
- 大規模なサイバー攻撃 。ランサムウェア・アズ・ア・サービス(RaaS)は、サイバー犯罪者が分業を行い、効率を高めることを可能にする新しいモデルです。その結果、RaaSにより、スキルの低い攻撃者でも高度なランサムウェア攻撃を容易に実行できるようになり、世界全体での攻撃件数が増加しています。サイバー犯罪者は、自動化された広範囲にわたる攻撃や、特定の中小企業を標的としたサイバー攻撃を仕掛けることができます。
- サイバーセキュリティ意識の欠如 。組織が、フィッシング、ソーシャルエンジニアリング、不審なリンクやメールなど、サイバー攻撃の兆候を見分けるようユーザーを教育していない場合、これが一般的な脆弱性となります。こうした基本的なセキュリティ意識対策を軽視することは、中小企業に対するサイバーセキュリティ上の脅威を増大させます。ユーザーが脆弱なパスワードを使用したり、セキュリティ上の基本ルールを守らなかったりすると、攻撃者はコンピュータにウイルスやその他のマルウェアを容易に感染させることができます。
- 検知と対応の遅れ 。中小企業は、自社のインフラを継続的に監視していることはあまりありません。 その結果、管理者はサイバー攻撃が発生している際に迅速に対応する機会を逃してしまう可能性があります。こうした対応の遅れは、取り返しのつかない損害を招く恐れがあります。脆弱性スキャンやパッチ適用の遅れは、こうした企業を攻撃の格好の標的にしてしまいます。
サーバー・メッセージ・ブロック(SMB)を悪用したサイバー攻撃は、Windowsネットワーク上でファイル共有、プリンターへのアクセス、プロセス間通信を可能にする広く利用されているプロトコルであるため、頻繁に発生しています。 SMBプロトコルの旧バージョンには、適切に保護されていない場合、悪用可能な脆弱性が含まれています。共有リソースへのアクセス設定が不適切な場合も、セキュリティ上の隙間が生じます。SMB攻撃は、小規模な組織に対して広く利用されています。これは、攻撃者がこうした企業が十分な保護措置を講じずにこのプロトコルを使用していると予想しているためです。
中小企業に対する最も一般的なサイバー攻撃の種類
中小企業を標的とするサイバー攻撃には、さまざまな種類があります。 その多くは、どのような標的に対しても共通して見られるものです。
- フィッシング攻撃 。詐欺的なメールにより、従業員が悪意のあるリンクをクリックしたり、機密情報(パスワードや財務データ)を漏洩させたりするように仕向けられます。適切なセキュリティ研修が行われていない場合や、メールフィルタリングやスパム対策が正しく設定されていない場合、組織は脆弱な状態になります。
- ランサムウェア 。これは中小企業にとって最も危険なサイバーセキュリティ脅威の一つです。強力な暗号化アルゴリズムを使用してデータを破壊し、鍵を使用しなければ復号できません。攻撃者はデータを解放する見返りとして身代金を要求しますが、身代金を支払っても鍵が送られてくる保証はありません。適切なバックアップ戦略やインシデント対応計画がない組織は、特に脆弱です。
- ウイルスおよびマルウェア感染 。悪意のあるリンクやソフトウェアを介してインストールされるウイルス、トロイの木馬、ワーム、スパイウェアは、データの窃取やリモートアクセスの取得によく利用されます。ユーザーが信頼できないソースからファイルをダウンロードしたり、最新のウイルス対策ソフトウェアを導入していない組織は、マルウェア感染に対して脆弱です。
- ビジネスメール詐欺 。ハッカーは経営幹部やベンダーを装い、ユーザーを騙して送金させたり、データを開示させたりします。 電子メールの認証が不十分であったり、金融取引に対する二重承認プロセスが欠如していたりすると、組織は攻撃を受けやすくなります。
- クレデンシャルスタッフィング 。ハッカーは、以前に盗まれたユーザー名とパスワードの組み合わせを使用して、他のシステムにアクセスします。一般的な(広く知られている)パスワードを使用し、 多要素認証 を実施していないユーザーは、組織を危険にさらす可能性があります。
- サービス拒否(DoS)/分散型DoS(DDoS)。サーバーやネットワークに過負荷をかけ、サービスを停止させるこの攻撃は、企業から金銭を脅し取ったり、業務を妨害したりするためによく利用されます。帯域幅が限られており、DDoS対策ツールを導入していない企業は、この種の攻撃に対して脆弱です。
- 内部者による脅威 。従業員や契約業者が、データを盗んだり不適切に扱ったりすることで、セキュリティ侵害を引き起こす可能性があります。これは、不十分なアクセス制御やセキュリティポリシーが原因で発生することがあります。
攻撃者は、複数の攻撃手法を組み合わせて、複雑かつ甚大な被害をもたらす攻撃を仕掛けることがあります。例えば、電子メールの認証情報を入手し、ソーシャルエンジニアリングの手法を用いたなりすましメールを送信して組織内のコンピュータを感染させ、ランサムウェアを実行してデータを破壊し、身代金を要求することがあります。
SMBのセキュリティ設定が適切に行われていない場合、サイバー攻撃ではSMBプロトコルが悪用されることがよくあります。これにより、攻撃者はコンピュータを感染させ、ワーム型のマルウェアなどのウイルスを拡散させ、データを盗み出し、ランサムウェアでファイルを暗号化または破損させることが可能になります。 SMBv1などの古いバージョンのSMBには、攻撃者が頻繁に悪用する既知の脆弱性が存在します。
SMB経由でアクセス権を取得する前に、攻撃者は中間者攻撃(Man-In-The-Middle)を利用したり、NTLMハッシュをキャプチャしてオフラインでの解読を行ったり、改ざんされたLLMNR/NBT-NS応答を介して認証情報を収集したりすることがあります。権限昇格の手法も使用されます。現代のサイバー攻撃は高度化しており、SMBのセキュリティ上の隙間を悪用して被害者に損害を与えるなど、複数の段階を経て行われる場合があります。
中小企業がサイバー脅威に対して脆弱である主な理由
以下に、中小企業がサイバー攻撃に対して脆弱である理由をまとめます。
- 限られた予算と優先度の低さ サイバーセキュリティやデータ保護に対する優先度が低いことです。小規模な組織では、ITセキュリティよりも運営コストを優先することがよくあります。保護対策が不十分であるため、基本的な攻撃でさえも受けやすくなってしまいます。保護が不十分なWi-Fiネットワークにより、攻撃者はオフィスに物理的にアクセスすることなく、組織のネットワークに侵入することが可能になります。
- 正式なセキュリティポリシーの欠如 。ソフトウェア管理、セキュリティパッチの適用、パスワード管理、インシデント対応に関する文書化されたポリシーがないと、従業員が知らず知らずのうちに一貫性のない、あるいはリスクの高い判断を下してしまうリスクが高まります。ユーザーは、サービス間で単純なパスワードや同じパスワードを流用することがよくあります。
- ユーザー向けのトレーニングや教育の欠如 。ユーザーはサイバー攻撃を見分ける方法を知らず、悪意のあるリンクをクリックしたり、フィッシングメールを開いたり、不審なアプリケーションをインストールしたりしてしまうことがあります。 脆弱なパスワードや不十分なセキュリティポリシーと相まって、これらの要因により、小規模組織はサイバー攻撃に対して極めて脆弱な状態にあります。
- 定期的なバックアップが行われていない 。 小規模組織は、バックアップやデータ保護の重要性を過小評価しがちです。この過ちは致命的な結果を招く可能性があります。さらに、手動でバックアップを行ったり、本番データと同じネットワーク上にバックアップを保存したりする組織もあります。これにより、元のデータとバックアップの両方が、ランサムウェアやその他のマルウェアの標的になりやすくなります。
中小企業にとって、サイバーセキュリティは必須の課題です。こうした組織に対するサイバー攻撃の多くは、機会主義的(標的型ではない)であり、自動化されたシステムが絶えずインターネット上をスキャンして、脆弱な侵入経路を探しています。
中小企業におけるデータ漏洩のコスト
中小企業にとって、データ漏洩によるコストは、財務面、業務面、そして評判の面で壊滅的なものとなり得ます。大企業であればその打撃を乗り切れるかもしれませんが、多くの中小企業は二度と回復できないままです。
全米サイバーセキュリティ同盟 の報告によると、サイバー攻撃を受けてデータを失った中小企業の60%が、6ヶ月以内に廃業に追い込まれています。 2024年のデータ漏洩による平均コストは、2023年から10%増加し、過去最高の488万ドルに達しました。
- 平均コスト:1件あたり12万ドルから124万ドル(業界や被害の深刻度によって異なります)。
- ランサムウェアの身代金要求額は、中小企業の場合、1万ドルから25万ドル以上に及ぶことがよくあります。
費用の内訳
以下に、中小企業に対するサイバー攻撃による費用の詳細を示します。
- 事業停止による損失 :
- 事業停止による収益の損失。
- ランサムウェア攻撃後の平均事業停止期間:10~21日。
- 時間的制約の厳しい業種(例:小売業、 医療)が最も大きな打撃を受ける。
- 身代金の支払い 。組織が身代金を支払った場合、特に攻撃者が失われたデータを復元するためのツールを提供しない場合には、財務的損失はさらに拡大する。支払いをしても、完全な復旧や将来の感染からの保護が保証されるわけではない。
- インシデント対応と復旧 にかかる費用には、フォレンジック調査、法的助言、データ復旧、ITインフラの再構築などが含まれる。 費用には、第三者のセキュリティコンサルタントや残業代も含まれる場合があります。
- 評判の毀損 :
- 顧客の信頼とブランド価値の喪失。
- 将来の顧客は、より"安全"な競合他社を選ぶ可能性があります。
- 長期的な収益の損失につながる可能性があります。
- 法的および規制上の罰金 :
- GDPR、HIPAA、PCI DSS、または現地のデータ保護法が適用される場合があります。
- コンプライアンス違反は、中小企業であっても罰則の対象となります。
- 知的財産の喪失:
- 独自データ、営業秘密、製品計画が盗まれる可能性があります。
- これは特に技術系スタートアップにとって甚大な損害となります。
中小企業に対するサイバー攻撃は、組織にとって単なる"技術的な問題"ではありません。適切に対処しなければ、事業の存続を脅かす事態になりかねません。サイバーセキュリティ研修、定期的なバックアップ、多要素認証、インシデント対応計画への投資により、リスクと財務的影響を大幅に軽減できます。
中小企業がサイバーセキュリティリスクを低減する方法
中小企業は、エンタープライズレベルの予算がなくても、実用的かつ費用対効果の高い対策を講じることで、サイバーセキュリティリスクを大幅に低減できます。サイバー攻撃のリスクを最小限に抑えるために、以下の推奨対策に従ってください:
- 強力で一意のパスワードを使用する 。パスワードポリシーを徹底し、複雑で再利用されない認証情報を義務付けます。パスワードの紛失を防ぐため、ユーザーにパスワードマネージャーを提供してください。 すべてのシステムでデフォルトの認証情報を変更してください。
- 従業員にサイバー衛生管理について教育してください 。人的ミスはサイバーインシデントの主な原因です。フィッシングシミュレーションを実施してください。安全なブラウジング、メールの取り扱い、パスワード管理の慣行について指導してください。セキュリティ研修を定期的に実施し、少なくとも四半期ごとに繰り返し行ってください。
- 多要素認証(MFA)の導入を検討してください。MFAは、メール、クラウドアプリ、リモートアクセスなど、最も重要なリソースに追加の保護層を提供します。管理者アカウントや財務関連のアカウントを優先してください。
- システムとソフトウェアを最新の状態に保つ 。オペレーティングシステム、アプリケーション、ファイアウォール、ルーター、ファームウェアに定期的にパッチを適用してください。セキュリティパッチや更新プログラムは、既知の脆弱性を修正し、攻撃対象領域を縮小します。可能な場合は、自動更新を有効にすることを検討してください。可視性を高めるためにパッチ管理ツールを使用してください。サイバーセキュリティにおいては、SMBの最も安全なバージョンを使用することが重要です。 可能であれば、SMBv1の代わりにSMBv3を使用してください。
- ウイルス対策ソフトや検知・対応ツールを使用してください。 。最新のマルウェアには、最新の防御策が必要です。すべてのデバイスに信頼できるウイルス対策ソフトをインストールし、定期的に更新を行い、不審な動作に対するアラートを設定してください。 メールの保護 をスパム対策フィルターを使用して設定してください。
- アクセス制御ポリシーを導入してください。 。最小権限の原則を適用してください。役割に基づいて、ファイル、システム、および管理ツールへのアクセスを制限してください。 元従業員などの未使用アカウントは無効化してください。
- ファイアウォールを設定し、Wi-Fi を保護してください 。ネットワークレベルの保護は不可欠です。エンタープライズグレードのファイアウォールを使用し、外部ネットワークからの未使用ポートをブロックしてください。スプーフィング対策を設定してください。デフォルトの Wi-Fi 認証情報を変更し、ゲストネットワークを分離してください。ワイヤレスクライアントデバイスに対して MAC アドレスフィルタリングを有効にしてください。
- 不審な活動を監視してください 。基本的な監視であっても、何もしないよりはましです。ログ監視ツールやマネージドセキュリティサービスを利用してください。 異常なログイン、ファイルへのアクセス、データ転送に注意してください。専門的なツールを使用して インフラ監視 を設定することをお勧めします。
- データのバックアップ 。重要なファイルの定期的かつ自動化されたバックアップを実行してください。ランサムウェアからバックアップを保護するために、オフライン(エアギャップバックアップ)または不変のストレージに保存してください。 3-2-1バックアップルール および GFSのデータ保持ポリシーに従ってください。 復旧プロセスのテスト を定期的に実行し、バックアップが正常であり、必要なときにデータを復元できることを確認してください。
- インシデント対応計画を作成してください 。この計画は、 災害復旧計画 および 事業継続 の計画で構成されるべきです。役割(特定のアクションを実行すべき担当者)、連絡先(法務、IT、法執行機関)、およびアクション(何をすべきか)を定義してください。インシデント対応訓練(机上演習)を実施してください。
一連の予防および保護対策を実施することで、中小企業はサイバーセキュリティ上の脅威を軽減し、データを保護することができます。
バックアップと復旧が中小企業のサイバーレジリエンスにとって極めて重要な理由
バックアップは、ランサムウェア、ハードウェアの故障、誤削除、その他の災害に対する最後の防衛線となるため、極めて重要です。信頼性の高いバックアップおよび復旧戦略がなければ、わずかなサイバー攻撃でさえも業務を永久に停止させ、あらゆる規模の組織を危険にさらす可能性があります。
- ランサムウェア攻撃が増加しています 。ランサムウェアはデータを暗号化し、身代金の支払いを要求します。バックアップがあれば、身代金を支払うことなく業務を復旧させることができます。 エアギャップ化され、クラウドから隔離され、不変性を持つバックアップは、感染の影響を受けません。
- 人為的なミスは起こり得ます 。小規模な組織では、ファイルの誤削除や上書きが頻繁に発生し、十分な訓練を受けた従業員であってもミスを犯す可能性があります。バックアップがあれば、ダウンタイムやデータ損失を招くことなく、削除されたファイルを迅速に復元できます。
- ハードウェアおよびソフトウェアの障害 。ディスクドライブの故障、データベースのクラッシュ、オペレーティングシステム(OS)の更新の失敗などが発生することがあります。 堅牢なバックアップがあれば、技術的な障害が発生しても、ビジネスの継続性とデータの整合性を確保できます。
- ダウンタイムとデータ損失の最小化 。ダウンタイムが1分続くごとに、コストが発生し、信頼が損なわれます。バックアップがあれば、場合によっては数分以内にサービスを迅速に復旧させることができます。これにより、生産性の低下や顧客の不満を最小限に抑えることができます。
- 事業継続計画 。バックアップは、災害復旧計画の不可欠な要素です。サイバーレジリエンスとは、単に攻撃を阻止するだけでなく、迅速な復旧を意味します。 バックアップは、あらゆる災害復旧や事業継続戦略の基盤を成し、セキュリティ侵害やシステム停止が発生した後でも顧客にサービスを提供し続けられることを保証します。
NAKIVOが中小企業の保護を支援する方法
NBRは、中小企業の要件に適した信頼性の高いデータ保護ソリューションです。このソリューションには、以下のような数多くの機能が備わっています:
- 不変のバックアップ 。バックアップはランサムウェアの標的にもなります。 バックアップの不変性を有効にすることで、バックアップが改ざんされたり削除されたりするのを防ぐことができます。その結果、ランサムウェアによってバックアップデータが破損したり削除されたりすることはありません。
- テープへのバックアップ 。バックアップをテープに保存することができます。ランサムウェア攻撃が発生した場合でも、接続されていないテープメディアに保存されたバックアップは正常な状態を保ち、ランサムウェアによる破損を受けません。
- 複数のバックアップ保存先 。NAKIVOソリューションは、ローカルストレージ、テープ、SMB共有を含むリモートストレージ、クラウドストレージ(Amazon S3、S3互換ストレージ、Azure Blob Storage、Backblaze B2など)など、バックアップを保存するための多数の保存先タイプをサポートしています。 異なるメディア上の複数の場所にバックアップを保存することで、"3-2-1"のバックアップルールが満たされ、他のバックアップが破損した場合でも安全なバックアップを確保できます。
- 保存期間ポリシー 。保存期間設定の幅広い構成オプションにより、ストレージを合理的に活用し、必要な期間だけバックアップを保持することができます。 NAKIVOの" 保持設定"を使用すれば、GFS保持ポリシーを実装し、新しいリカバリポイントをより多く保持しつつ、古いリカバリポイントは少なく抑えることができます。
- バックアップの暗号化 。暗号化は、SMBセキュリティの重要な要素の一つです。 バックアップの暗号化 を利用することで、組織内のセキュリティレベルを向上させ、ネットワーク経由でバックアップを転送する際の傍受からバックアップを保護することができます。また、バックアップがバックアップリポジトリに保存されている際、不正使用から保護するためにも暗号化が使用されます。
- マルウェアスキャン 。サポートされているウイルス対策ソフトウェアを使用して、復元前のマルウェアスキャンを実行することで、バックアップがクリーンであることを確認し、ランサムウェアが本番データに拡散するのを防ぐことができます。
- マルチプラットフォームの保護 。NAKIVOソリューションは、物理サーバーやワークステーション(WindowsおよびLinux)、仮想マシン(VMware vSphere、Proxmox VE、Hyper-V、Nutanix AHV、Amazon EC2)、 SMB および NFS ファイル共有、およびOracleデータベースを保護できます。
- 柔軟な復旧機能 。状況に応じて、完全な復旧を行うことも、ファイルなどの特定のオブジェクトを復旧することも可能です。これにより、必要なデータを可能な限り迅速に復元できます。
- 復旧テスト 。NAKIVOソリューションを使用すれば、バックアップのテストを行うことができます。さらに、複雑な災害復旧シナリオを作成し、 サイトリカバリ 機能を用いてテストすることも可能です。
結論
SMBに対するサイバー攻撃は、中小企業にとって一般的な脅威です。 組織は、SMBファイル共有を不正アクセスから保護し、SMBネットワークのセキュリティを強化するためのセキュリティ対策を実施する必要があります。最新のウイルス対策ソフトウェアの使用、ソフトウェアのセキュリティパッチの適用、適切なセキュリティポリシーの導入、電子メール保護の設定、ユーザーへの教育、そして定期的なバックアップの実施が不可欠です。バックアップは、たとえサイバー攻撃が成功した場合でもデータを復元するために利用できるため、極めて重要です。 NAKIVOのソリューションは、中小企業が手頃なコストでデータを保護できるようにする幅広い機能を提供しています。
