中小企業の甘いBYODが大企業の情報流出につながるワケ

中小企業が狙われる理由は大企業侵入への踏み台目的

三上　IPAの報告書を開く前に、まず中小企業が狙われていることを再認識することから始めましょう。大企業のセキュリティ対策はそれなりに進んできました。それに対して中小企業のセキュリティはまだ弱いということは犯罪者側も認識しています。

　日本の例ですと、2015年に日本年金機構を筆頭に三十数件の個人情報流出事件が起きましたが、犯罪者は年金機構のような大きな目標に近づく前に、日本国内の脆弱なサーバーを先に確保し、そこを中継点として情報を盗んでいたことが判明しています。

　それからアメリカの事例ですが、大手ホームセンターであるTarget社から4000万件に上るクレジットカード情報が流出した際は、POS端末のウイルス感染が原因でした。しかしTarget自体はセキュリティに十分注意を払っていたのです。ところが出入りの空調業者経由でウイルスに感染してしまったのです。

　つまり、中小企業自身が狙われているのではなく、彼らの取引先を狙うための足掛かりにされているわけですね。そんな現状を踏まえた上でIPAの調査報告書を見てみましょう。

　大企業と比べて、中小企業のセキュリティが甘いことは仕方ないとも言えるでしょう。投資できる額が違いますから。では、当の中小企業経営層はどう考えているかというと、「情報セキュリティ対策は十分だと思いますか」というストレートな質問に対して、「あまりそう思わない」「思わない」が5割に迫る勢いなんです。経営層からして「ウチは十分じゃない」と認めている(笑)　ではなぜしないの？　できないの？　といえば「貴社ではIT投資を過去3年間の間に行いましたか」の質問に対してやはり5割以上の経営層が「行っていない」と答えていることからもわかるように、優先投資事項になっていないからです。ではお金がないから良いのかといえば、そんなわけにはいきません。

BYOD端末にパスワード設定すらしていない中小企業が3割!?

三上　BYOD（私有端末の業務利用）は中小企業全体の4割、小規模企業に限っては5割を超えています。これは“BYODでスムーズに業務が進む”以上にコストの問題なんです。「会社にはスマホを買うお金がないから自分のを使ってくれ」と。しかも、そんな中で全体のおよそ3割が端末にパスワードの設定をしていないのです。小規模企業では4割超に至っています。要は、社員が自分のスマホを紛失したらアウト。即情報流出の可能性が発生するわけです。これはとても危険だなと。

　セキュリティ業界ではずいぶん前からMDM（モバイル・デバイス・マネージメント）を使ってセキュリティを担保することが当たり前と考えられています。MDMを導入していれば、失くしたらリモートで情報を消去できるとか、アプリのインストールを制限してウイルス感染を予防するといった基本的な防御ができるのですね。

　しかし中小企業のMDM普及率は1割にも届いていません。小規模企業ではたった2.4％です。まあパスワード設定すらしていないわけですから……。

　実際、私物iPhoneのメールアプリでやり取りしていますという営業部門などが非常に多いのですね。端末を盗られたらメールは丸裸です。そしてそれは前述の“大企業への踏み台として中小企業が狙われる”理由にもつながっているのです。

精密な標的型攻撃メールが作れる理由

三上　なぜなら最近のサイバー攻撃は、そのほとんどがメール起点だからです。今年6月に起きたJTBの個人情報流出事件も、航空会社からを装ったメールを起点とした標的型攻撃でした。日本年金機構の場合も、内部特有の内容が書かれたメールです。つまり犯罪者は、社内や取引先とのフォーマットを隠れ蓑にして攻撃をかけてくるわけです。宛先・部署名・●●様お疲れさまですといった社内特有の挨拶の書き方、添付ファイルの命名規則……すべて社内そっくりにして送りつけられます。

　これは、どこかで誰かのPCやスマホからメールが丸ほど抜き取られているんです。そして社内規則などを読み切った上で攻撃メールが作成されている。標的型攻撃の怖さはここにあります。ですから、標的の社内で実際に飛び交っているメールを入手することが標的型攻撃を行う上での最初のステップといえます。そのターゲットにされるのは言うまでもなく、取引先の中小企業で使われているセキュリティの甘いBYODなのです。