会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を

ペネトレーションテストは単なるコンピューター上でのハッキングにとどまりません。GMOサイバーセキュリティ byイエラエが名刺管理サービスで知られるSansanに対して実施した事例があります。

このペネトレーションテストでは、Sansan側が物理的な侵入も許可するという高いレベルの要求のもとで行われました。実行部隊は、まずビルの清掃員に扮装し、事前に偽造した身分証と許可証を受付に提示し、まんまとビル内部への侵入に成功します。

次の関門は、ICカード認証が必要なオフィスフロアへの侵入ですが、「相乗り（テールゲート）」と呼ばれる古典的な手口を使いました。退勤する正規の社員がドアを開けた瞬間、その背後からごく自然に、さも当然のように一緒に入室するのです。リモートワークが普及し、フロアにいる社員の顔ぶれが日々変わる現代において、見知らぬ人物がいても疑われにくい心理を利用したのです。

オフィス内部に侵入した後は、ネットワーク機器のLANポートに「ラズベリーパイ」と呼ばれる小型の装置を人知れず接続しました。一度設置してしまえば、攻撃者が外部から社内ネットワークへ自由にアクセスし続けるための「バックドア（裏口）」として機能します。

実行部隊は装置を仕掛けた後、何食わぬ顔でビルから立ち去りました。社員たちが日常業務を送る、そのわずか数メートル隣で、静かに外部からの攻撃の拠点が築かれてしまったのです。Sansanでは、このテスト結果を受けて、監視能力や検知後の対応について改めて見直し、全社的なセキュリティルールの見直しを行ったそうです。

セキュリティは「コスト」ではなく「未来への投資」

国内でもトップクラスのセキュリティ意識と対策レベルを持つ先進的な企業でさえ、プロの攻撃者の前では物理的な侵入を許してしまうのです。自社だけの力ですべての脅威から身を守り、対策を完結させることがいかに困難であるかがわかるでしょう。

サイバーセキュリティ対策は、売り上げや利益に直接貢献しないため、経営層からはどうしてもコストとして見なされがちです。この認識は根本から改めなければなりません。

ひとたび情報漏洩やランサムウェア感染といった深刻なインシデントが発生すれば、事業停止による機会損失、顧客や取引先への賠償、システムの復旧費用、そして失われたブランドイメージや信頼の回復など、対策費用とは比較にならない、何十倍、何百倍もの有形無形の損害が発生します。セキュリティは目に見えないコストではなく、「未来の売り上げと企業の信頼を守るための投資」なのです。

この機会に、自社の「健康状態」を見直してみてはいかがでしょうか。まずは無償で公開されているセルフアセスメントシートを活用して現状を把握し、不安や弱点が見つかれば、専門家による「人間ドック」、すなわち脆弱性診断やペネトレーションテストの受診を検討してみてください。

手遅れになってから後悔する前に、今すぐ行動を起こすことが、あなたの会社を守ることにつながるのです。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、柳谷 智宣さんの最新記事をメールでお知らせします。