そして「ダークウェブ」と呼ばれる地下市場では、盗まれた情報や攻撃ツールが日常的に売買されている。クレジットカード情報1枚は数百円〜数千円。企業のVPNアクセス認証情報は数万円〜数十万円。未知の脆弱性(ゼロデイ)は数百万円から数千万円。
あなたの会社に侵入するための「鍵」が、ネット上で売られている可能性がある。攻撃者は自分で鍵を作る必要すらない。買えばいい。攻撃の「産業化」は、すでに完了している。
その先に、リーダーが必ず突き当たる究極の問いがある。身代金を払うべきか、払わざるべきか。Colonial Pipelineは約4.8億円を支払った、「国民への燃料供給を最優先した」と同社CEOは議会で証言した。
「払うべきではない」というのが国際的な原則だ。支払いは犯罪組織の資金源となり、次の攻撃を招く。しかし現実のリーダーは、構成員の雇用、関係先への義務、預かったデータの保護、組織の存続、すべてを天秤にかけて判断しなければならない。
この判断はIT部門にはできない。リーダーの判断であり、事前にシミュレーションしておくべき「有事のシナリオ」だ。バックアップ設計やサイバー保険は、この判断に直面する確率そのものを下げるための投資である。
大企業よりも中小企業のほうが狙われやすい
サイバーセキュリティに関する講演をすると、質疑応答で必ず手が挙がる質問がある。
「うちは中小企業なんですが、本当に狙われるんですか?」
答えは明確だ。狙われている。むしろ、中小企業のほうが狙われやすい。大企業は城壁が厚い。正面から攻めるのは効率が悪い。ならば、城壁の薄い裏門、サプライチェーン上の中小企業、から入ればいい。2025年、警察庁が公表したランサムウェア被害報告の約6割は中小企業からのものだった。
トヨタの主要サプライヤーである小島プレス工業が攻撃され、トヨタ国内の14工場が一斉に停止した事例がそうだったように、あなたの会社が標的なのではなく、あなたの会社を「通路」にして大企業や国を狙っている。
「AIを使った攻撃なんて、まだ先の話でしょう?」
これも、答えは明確だ。もう始まっている。2025年11月、AIモデルがジェイルブレイク(安全装置を解除)され、約30の組織に対するサイバースパイ活動に使われていたことが公表された。作戦の80〜90%をAIが自律的に遂行し、人間の介入はわずか数回だった。これは「未来の脅威」ではない。2025年の事件だ。

