[Security NEXT Special PR]

一方防戦側の企業といえば、担当者があらたなセキュリティ対策が必要と思っても、セキュリティ製品の導入計画を立て、経営層を説得して予算を確保するなど、社内調整だけでも大変だ。セキュリティ対策に投資できる予算、人材などリソースにも限界があり苦労を重ねている。

TwoFiveでCTOを務める加瀬正樹氏

攻撃者の潤沢な資金を得られる背景として、暗号資産（仮想通貨）が日常的に使用されるようになったことも、大きな追い風となったと加瀬氏は分析。攻撃者は匿名のままに犯罪の収益を受け取ることが可能となったことで、「ランサムウェア」という儲かるビジネスモデルに多くの犯罪者が群がり、エコシステムを発展させている。

暗躍する攻撃グループは、かつて一般に言われたような「愉快犯」ではない。巨大な資金力を持つ掟破りの犯罪組織が、スピード感を持って本気で金銭を奪いに来ていることを認識しておかなければならない。

そもそも不利な状況におかれており、個々の企業が巨悪を倒すことは難しいのが現状だ。それでも限られたリソースのなかでも企業は守りを固め、リスクを最小限におさえて事業を守り抜かなければならない。まさに踏ん張りどころだ。

「事業そのもの」を人質に取る犯罪者

もし「中小企業の自分たちを狙ったところで、何も奪うものはない」などと考えていたら、認識をあらためた方がいい。どのような企業も顧客や取引先など営業データが存在する。場合によっては知的財産もあるだろう。そしてサプライチェーンや顧客はもちろん、従業員の生計を支えている。

突然、稼働する生産システムや基幹システムが停止し、修復に数カ月を要することになったらどうだろうか。事業の収益が停止し、復旧に費用が生じるのはもちろんだが、取引先にも多大な影響を与え、場合によってはサプライチェーン全体に影響が波及することもある。

実際、ランサムウェアの被害現場ではこうした事態に直面している。昨今のサイバー攻撃者は、「事業そのもの」を人質に取る。そして実際に身代金を巻き上げることに成功しているのだ。決して他人ごとではない。

気づいていない「弱点」こそ攻撃者の標的

これまでもマルウェア対策、ファイアウォールなど、さまざまなセキュリティ対策に投資をしてきた企業も多いだろう。しかしこうした対策はあくまで企業みずから把握した範囲にとどまる。意識の及んでいない部分は対応のしようがない。

だからこそ近年攻撃者は、標的となる企業の外部から見えているシステム環境を綿密に調べ上げ、企業が気づいていない「対策の抜け漏れ」を見つけ出し、そこから侵入している。

たとえば、セキュリティパッチが適用されていないネットワーク機器、役目を終えたあともそのまま放置されているサーバ、従業員が勝手に導入した野良機器、管理が行き届いていないドメインや電子証明書なども危険な「隠れIT資産」だ。

普段から利用しているネットワーク機器やサーバさえも、脆弱性が解決されていなかったり、思わぬ設定ミスや運用の不手際、脆弱なパスワードなど、侵害が可能な状態に置かれている場合がある。

（提供：TwoFive - 2025/03/10 ） ツイート

PR

関連記事

米当局、悪用が確認された脆弱性4件について注意喚起
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正