ランサム被害の6割が中小企業､狙われる脆弱性 深刻な取引先への影響､損害賠償のリスクも

このように攻撃者は、サプライチェーンの弱点を悪用する。またランサムウェア攻撃では、「攻撃を受けていることを取引先に公表する」と脅すケースもあるという。企業が信頼失墜を恐れて、金銭の支払いに応じることを狙ったものだ。

対策ができていない中小企業が少なくないのはなぜ？

企業がサイバー攻撃の被害を受け、その被害が取引先にも及んだ場合、取引先はどのような対処を行うことが考えられるのか。

2019年に大阪商工会議所が大企業や中堅企業を対象に実施した調査では、採りうる対処として、「口頭や文書での注意喚起」が51％に上った一方で、「損害賠償請求」（47％）や「取引停止」（29％）など、厳しい対応を採ると答えた企業も多く見られた。

サイバー攻撃を受けた企業は被害者ではあるが、取引先から預かった機密情報が漏洩するなどした場合には、同時に加害者の立場にもなるため、重い責任を問われることもありうるというわけだ。

しかし、事業を継続するうえでこれだけのリスクがあるにもかかわらず、なぜ対策ができていない中小企業が少なくないのだろうか。

IPAの「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、「過去3年間でセキュリティ対策への投資を行っていない」と回答した中小企業は33.1％。そのうち投資を行わなかった理由として最も多かったのは「必要性を感じていない」（40.5％）、次いで「費用対効果が見えない」（24.9％）、「コストがかかり過ぎる」（22.0％）が上位を占めている。