パメラ(仮名)が平日の朝、デスクに座った時、オンラインセキュリティのことなど全く頭に浮かんでいませんでした。もちろん、常識的なセキュリティ対策の基礎知識は持っていました。安全でないパスワードを使ったり、怪しいコンテンツをWebからダウンロードしたりするようなタイプではありませんでした。シカゴに拠点を置く小さな製造会社の最高財務責任者である彼女は、PCを仕事に欠かせないツールだと考えていました。しかし、いつの間にか、小さなマルウェアが彼女のPCに侵入し、まもなく会社の存続を脅かすことになるのです。
シカゴのテクノロジーサービスプロバイダー、テクノロジービルのCEO、ブライアン・イェルム氏によると、パメラのマルウェアは、極めて単純な方法で動作したという。ブラウザをすべての銀行のURLにリダイレクトさせ、正規のサイトとそっくりな偽サイト(フィッシングと呼ばれる手法)に仕立て上げたのだ。パメラがその偽サイトにログインすると、会社の口座に関する問題についてカスタマーサービスに電話するように促すメッセージが表示され、彼女は画面に表示された番号に電話をかけた。担当者から簡単な質問をいくつか受けただけで、会社の口座のお金がすべて消えた。30万ドル以上が、わずか数分で消えたのだ。
パメラと会社は幸運でした。彼らはすぐに資金の消失に気づき、銀行から資金を取り戻すためにあらゆる手段を講じました。そして、テクノロジービルの協力を得て、IPアドレスと通話履歴をたどり、東ヨーロッパのハッカーグループにたどり着きました。正義は果たされ、資金は回収され、パメラの会社は生き延びることができました。
ハッキングを受けた企業が必ずしも幸運なわけではありません。全米サイバーセキュリティ連盟によると、中小企業の5社に1社が毎年サイバー犯罪の被害に遭っています。そして、そのうち約60%が攻撃から6ヶ月以内に廃業に追い込まれています。
ここで少し立ち止まって、別の言い方で言い直してみましょう。ハッキングされる可能性は 20 パーセントあり、ハッキングが起こった場合、ビジネスが終わってしまう可能性が高くなります。
もちろん、すべての中小企業がサイバー犯罪の被害に遭う可能性が同じというわけではありません。攻撃者は、企業の種類、評価額、あるいは企業自体のその他の特徴で差別することは通常ありません。彼らが狙うのはただ一つ、脆弱性です。
「中小企業の経営者の多くは、いまだにセキュリティ対策を講じておらず、それが問題だとも思っておらず、ほとんど無防備な状態です」と、カリフォルニア州ウォルナットクリークに拠点を置くセキュリティコンサルティング会社、Think Security Firstのニール・オファレル氏は語る。「彼らは、ハッカーが2700万社の中から自分の会社を選別する必要があると思い込んでいますが、攻撃が自動化され、脆弱性の発見に重点が置かれていることに気づいていないのです。」
小規模企業もまた、攻撃者にとってますます魅力的な標的となっています。シマンテックの最新の年次インターネットセキュリティ脅威レポートによると、2012年の標的型攻撃の31%は従業員数250人未満の企業で、これは驚くべき数字です。これは前年の18%から大幅に増加しています。
なぜこんなに急増したのか?中小企業は簡単に狙われ、大企業のように反撃しないからだ。
「中小企業はリスクが低く、窃盗犯にとって危険にさらされる可能性も低い」とオファレル氏は言う。「監視、フォレンジック、ログ、監査、レビュー、侵入テスト、そして侵入を警告するその他のセキュリティ対策や警告システムが不足していることが多いのだ。」
企業が小規模だからといって、攻撃者に莫大な利益をもたらさないというわけではありません。多くの場合、小規模な企業への侵入は、より大きな企業を狙う攻撃者にとって有用なデータとなります。つまり、より脆弱な中小企業への容易な攻撃を繰り返すことで、ハッカーは最終的に、他の場所でより大規模な攻撃を仕掛けることが可能になり、同時に、従業員データやクラウドログイン情報、顧客データや銀行の認証情報など、様々な貴重な戦利品を小規模企業から入手することになるのです。
経験は不要
一方、犯罪者にとって被害者を見つけることは容易になっている。「ハッカーやサイバー犯罪者が使用するツールは安価になり、入手も容易になった」と、セキュリティソフトウェアメーカーのトレンドマイクロでテクノロジー&ソリューション担当副社長を務めるJD・シェリー氏は述べている。
さらに悪いことに、これらのハッキングツールは非常に使いやすくなったため、本物のハッカーでなくても使用できます。ユーザーからの最小限の入力で、ハッキングアプリは一連のスクリプトを起動してWeb上の何千ものIPアドレスを調査し、エンドポイントPCの開いているポートを探し出したり、JavaやFlashなどの技術に広く存在する脆弱性を利用してウェブサイトにスパイウェアやトロイの木馬ソフトウェアを仕掛けたり、数千ものフィッシングメールを送信して少数のユーザーにクリックさせ、PCをさらなる攻撃に対して脆弱にさせようとしたりします。
イェルム氏も同意する。「これをするのにそれほど賢くある必要はありません。」
しかし、中小企業の経営者は賢く行動する必要があります。まずは、セキュリティ環境の変化を理解することから始めましょう。世界中の自動ハッキングツールがインターネット上で脆弱なマシンを常に探しているため、中小企業はもはやセキュリティ対策を隠蔽することに頼ることはできません。一方、あらゆる規模の企業は、膨大な数のインターネット接続デバイスとクラウドベースのサービスを抱えており、攻撃者にとって絶好の機会となっています。
セキュリティ対策が施されていないモバイルデバイス、特にAndroidスマートフォンやタブレットをBYOD(Bring Your Own Device)業務機器として使用すると、サイバー犯罪者がマルウェアをデバイスに仕込み、ソーシャルネットワーク、ビジネスネットワーク、さらには銀行システムのユーザー名とパスワードを盗み出すことが非常に容易になります。サイバー犯罪者がたった一人の営業担当者のCRMログイン情報を入手すれば、顧客アカウントに甚大な被害を与える可能性があります。
デジタルプライバシーとセキュリティに関するデータを追跡しているPonemon Instituteによると、顧客データベースへの攻撃からの復旧には、侵害された顧客レコード1件あたり平均194ドルの費用がかかる可能性があります。これは修復費用のみであり、評判の失墜、訴訟、取引の喪失などによる追加コストは含まれていません。多くの中小企業が攻撃後に倒産するのも不思議ではありません。ハッカーがあなたのアカウントから数十万ドルを盗み出さなかったとしても、彼らが引き起こした問題を解決するためだけに、いずれにせよ多額の費用を支払わなければならない可能性があります。
あなたにできること
企業をセキュリティ脅威から守るためには、必ずしも専任のITセキュリティ専門家を雇う必要はありません。中小企業でもサイバー攻撃から身を守るために実行できる、4つの簡単なステップがあります。
1.すべてのデバイスで保護対策を実施: プラットフォームを問わず、スマートフォン、タブレット、ノートパソコン、デスクトップパソコンなど、ビジネスに関わるすべてのデバイスで安全なパスワードと暗号化対策を実施してください。McAfee、Symantec、Trend Microなどのサードパーティ製マルウェア対策アプリをサポートしている場合は、インストールしてください。
2.ビジネスグレードの統合マルウェア対策を導入する: 一般消費者向けのウイルス対策アプリだけでは、企業の技術インフラを保護するには不十分です。ビジネスクラスのセキュリティスイートは、すべてのデバイスに定期的なアップデートとセキュリティパッチを適用するなど、マルチデバイス保護を提供します。攻撃の90%は、パッチ未適用のコンピューター上の古いソフトウェアバグを悪用するため、これは非常に重要です。
3.スタッフ(そして自分自身)に、デジタル衛生を徹底するよう指導しましょう。複数のアカウントで同じパスワードを使い回さないようにしましょう。メール内のリンクをクリックしないようにしましょう。フィッシング詐欺の脅威を見抜く方法を学びましょう。スタッフ全員がこれらの点を徹底し、頻繁に注意喚起をしましょう。
4.セキュリティ監査を実施し、その結果に留意する: テクノロジービルの顧客企業の一つは、昨年、金融サービスウェブサイトが10代のハッカーの標的となり、サーバーのオープンポートを悪用されてオンラインプレゼンスを乗っ取られたという痛ましい経験を通して、この教訓を身をもって学びました。セキュリティコンサルタントは1年前の監査でこれらの脅威を特定していましたが、企業は手遅れになるまで行動を起こさなかったのです。
デジタルセキュリティに関する残念な真実は、オンラインの脅威からビジネスを守ることは、一度きりの費用で済むものでも、一度設定してしまえば放っておけるような解決策でもないということです。これは継続的なプロセスであり、データとインターネットに依存して生き残るあらゆるビジネスにとって不可欠な要素です。ウェブサイト、デスクトップパソコン、ノートパソコン、携帯電話、そしてビジネスのあらゆる側面を管理するために使用するあらゆるオンラインサービスは、すべて攻撃の侵入口となる可能性があります。そして、それらを保護しなかったり、セキュリティ対策を将来の課題として後回しにしたりすれば、会社は生き残れず、二度目のチャンスを得ることもできないかもしれません。
