日本企業を狙う「身代金ウイルス」が増える背景 専門家が解説、企業が取り組むべき対策は

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

また、備えの一つに、サイバーリスク保険を活用するのも一考である。契約内容によるが、原因の調査費用や復旧費用、弁護士費用なども保険でまかなわれる。リスクはゼロにならないのだから、リスクを移転(共有)しておくことも重要な判断である。

こうした備えがなく攻撃を受けると、そもそも専門会社をネットで探すところから始めなくてはならず、その間に被害が拡大してしまう。サイバー攻撃に対して他人事だった経営者は、3~4日の徹夜を余儀なくされ、長く苦痛な戦いがはじまる。

事業継続に難しい判断を迫られる

身代金ウイルスの攻撃を受けたときに難しいのが、犯行組織との交渉だ。交渉はほとんどがメール。期間が短いのが特徴で、「1週間のうちに支払え」といった要求が多い。足がつかないように、ビットコイン(仮想通貨)での支払いを求められる。犯行組織が見元を明かすことは稀で、メールの文面から国籍などの組織の実態を推定する必要も出てくる。

犯行組織も事前にしっかりとターゲット企業の調査をしており、企業が支払えるギリギリの額を要求してくる。企業側は、弁護士やサイバーセキュリティの専門家などを入れて対応する必要がある。

――企業が身代金を支払ってしまうということもあるのでしょうか。

犯行組織の要求には応じず、警察当局に通報することがほとんどだろう。犯罪組織の資金源となることを防ぐためだ。だが、警察に被害届を提出しても、見えない敵に搾取されてしまったデジタルデータは戻ってこない。要求に応じるか否かは、子どもを誘拐された親の気持ちと同じ。交渉を無視しデータを暴露されるか、交渉を試みるか。事業継続の面から、経営者が難しい判断を迫られるケースは少なくない。

――改めて、日本企業にとって今後どのような対策が必要でしょうか。

望むと望まざるとにかかわらず、今後対策を迫られる企業が増えてくる。アメリカでは軍需産業の調達ガイドラインが定められ、また、イギリスでは政府と流通する民間企業は大小にかかわらず、「サイバーエッセンシャルズ制度」の認定取得をしなければならない。取引の継続にはセキュリティ対策が必須になっている。

さらに今後対応が求められるのが自動車業界だ。日本では2022年に自動運転車のサイバーセキュリティに関するWP 29という国際基準が適用され、完成車メーカーは自社だけでなく、取引先である部品メーカーなどのサプライチェーンのセキュリティ対策にも目を光らせる必要が出てくる。もはや自社だけがセキュリティ対策をしていれば足りるという時代ではなくなってきた。

かつての日本は、日本語特有の難しさが一種の「暗号」となり、サイバー攻撃から守られてきたという側面もあった。しかし今は、裏組織が潤沢な資金の下で日本語を堪能に熟す人を雇用すればよく、また、自動翻訳の精度が向上してきたことにより言語の壁は低くなった。 

サイバー攻撃の被害を他人事とは思わずに、平常時からできる備えをすることが何よりも大切になる。

並木 厚憲 東洋経済 記者

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

なみき あつのり / Atsunori Namiki

これまでに小売り・サービス、自動車、銀行などの業界を担当。テーマとして地方問題やインフラ老朽化問題に関心がある。『週刊東洋経済』編集部を経て、2016年10月よりニュース編集部編集長。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事