ランサムウェアの真の攻撃目標は中小企業だ　～経営者は“完璧な防御”は不可能との自覚が必要～

”手作業“でビール配送を余儀なくされたアサヒHD

先日、九州赴任中に懇意になった機械商社のトップが上京、久しぶりに思い出話が弾んだが、引っ掛かった一言がある。「アサヒビールのような大企業が標的になるんだな」。言うまでもない。アサヒグループホールディングス(HD)をはじめ多くの企業に大きな障害を与えたランサムウェアによる攻撃の件である。人ごとのような言葉に強い違和感があった。

ランサムウェアの脅威は、よく知られている通りここ数年の間に世界規模で急拡大している。アサヒHDの場合はランサムウェアの攻撃で電子発注システムなど基幹システムが2か月以上にわたり停止、酒販店や居酒屋の店頭から主力のスーパードライが消える事態にまで発展した。「手作業」による物流業務が正常化したのは発生から4か月が経過した今年の2月。消失した顧客データは150万件以上とされている。

もちろん多大な被害を受けたのはアサヒHDだけではない。例えば大手出版社KADOKAWA。2024年7月の大規模な攻撃で複数のサーバのデータが盗まれ、子会社のドワンゴが運営する「ニコニコ動画」のサービスが停止に追い込まれた。アサヒHDと同時期の昨年10月に攻撃を受けたアスクルの場合もデータ流出で受注・出荷システムを停止、関係者総動員によるFAX経由で受注を再開したという経緯もある。

被害企業の6割以上は中小企業

確かに広く喧伝されているのは、こうした大手企業の被害状況ばかりである。アスクルの場合は間接的な復旧費用を含め被害額は60億円以上との報道もあるし、アサヒHDの損失額は遥かに大きいと推察できる。だが、この問題でむしろ深刻な状況に置かれているのは中小企業である。残念ながらその現実は広く浸透しているとは言い切れない。博多に本拠を置く機械商社にとっても、ランサムウェアの脅威は他人事ではないのだ。

現在、ランサムウェアの被害状況の報告については警察庁が把握しているが、直近でまとまった2025年度上半期の企業・学校法人や団体などの被害件数は116件。2024年度の件数も200件超だったことを踏まえると、事態はより深刻さを増している。しかもその60%以上は中小企業である。

ハッカー犯罪集団を超えた高収益の産業に】

改めて説明の必要もないと思うが、ランサムウェアは「ランサム(身代金)」を要求する不正なプログラムである。その実態は単純なハッカー集団ではない。ロシア、北朝鮮が関与するとされる国際的な犯罪システムであり、西側諸国の企業を標的に巨額のランサム(身代金)を稼ぐ、極端な言い方をすれば“高収益産業”である。特に経済制裁下にある北朝鮮にとって、サイバー攻撃による暗号資産などの窃取が貴重な外貨獲得手段になっていると言う。

さすがにアサヒHDやアスクルと言った企業が大きな被害を受けている現実を直視している大手企業のランサムウェア対策は急ピッチで進んでいるが、中堅・中小企業の防御に対する意識は脆い。と言うよりも経営トップの危機意識が乏しく「うちのような小さな企業が攻撃されることはない」という意識から抜け出せていないように思える。もちろん真摯に取り組んでいる企業も多いとは思うが、現実に本格的な感染対策となるとコストの壁も立ちはだかる。

だが、考えて欲しい。VPN(公衆ネットワーク上に設けられた安全な専用通路)機器に、リモートネットワークを経路としてランサムウェアの侵入を許せば被害は取引先、顧客にも情報流出などの形で及んでくる。企業内にネットワークが張り巡らされ、端末にパソコンが当然のように設置される時代である。中小企業にとってもランサムウェア対策は喫緊の課題なのだ。事実、アサヒHDやアスクルの業務の混乱は中小の関連企業や消費者に甚大な被害を及ぼしている。

もはや“日本語の壁”も無意味に

かつては大きな“防御壁”だった「日本語の壁」も現在ではもはや意味をなさない。生成AIの登場で不自然な日本語のメールで見抜くことも不可能となり、コロナ禍以降の在宅勤務、テレワークの拡大が格好の侵入口を攻撃側に提供している。「在宅勤務に対応した、いわば急ごしらえの脆弱なVPN機器、リモートデスクトップの管理の甘さが被害の拡大を招いている」と関係者は指摘する。

もちろんランサムウェアと言っても種類や感染経路はさまざまである。予防策、防御方法と感染前の対策と同時に感染後の回復策も必要となる。ただ攻撃側の手法は多種多様で企業側が対策を講じれば、攻撃型は即座にプログラムなどを変更して侵入を図るというまさに「いたちごっこ」のような状況である。極論すれば、絶対に侵入を防げる“完璧な防御”は不可能である。

「交通事故にあった」で済む話ではない。特に攻撃者に狙われやすい中堅、中小企業の経営者にとって「自分はITに弱いから現場に任せる」発想は、現在の状況を踏まえると全く通用しない。もちろん社員に義務付ける点も多々ある。重要データのバックアップ、記憶媒体の隔離、定期的なパスワード変更などは当然だが、今の時代にあって経営トップ自らに必要なのは「侵入を防ぐ」発想ではなく、侵入された場合の回復(レジリエンス)の道筋ではないか。

経営者は侵入後の事態に備えよ。脅威は常にある

繰り返しになるが、企業全体のセキュリティのリテラシー向上はもちろん重要だ。だがそれ以上に経営者に求められているのは、侵入された場合「どう事業を継続していくか」「身代金を拒否する手段はあるのか」という意思決定であり、経営判断である。他人任せにすることは出来ないのだ。

自分自身も、かつて産経新聞グループの子会社の社長を務めていた時代に、取引先の銀行からランサムウェア対策を強く進言された経験がある。だが、その当時は今以上にランサムウェア被害に対する認識、知識も乏しく、極端に言えば地震や台風などの「自然災害」や「交通事故」のような確率だろう、と軽視していた覚えがある。恥ずかしいが、対策についての記憶も曖昧だ。

だがアサヒHDの被害に明らかなように、攻撃側の手口は日々、巧妙になり感染後の被害は計り知れないものになりつつある。肝心なのは、攻撃を受けて顧客情報が流出した、事業停止を余儀なくされるという現実は、もはや他人事ではないということだ。

しかも攻撃側の狙いは、繰り返しになるが「急ごしらえ」で脆弱なVPN機器、リモートデスクトップの管理の甘さが目立つ中小企業が主体となっているのが数字で示されているのだ。ランサムウェアの脅威に常に晒され続けている現実を中小企業の経営者たちは自分事として強く認識すべき時期が来ている。