「うちみたいな小さい会社、わざわざ狙いませんよ」
「ハッカーって、外国の天才プログラマーがやってるんでしょ?」
そういう感覚、自分の中にもどこかありました。
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、「サイバー犯罪者の実態」に関する調査結果から、「うちは大丈夫」という思い込みを少し見直してみる機会にしたいと思います。
参考記事
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
セキュリティ企業Orange Cyberdefenseが発表した「Security Navigator」レポートで、2021年〜2025年半ばの間に行われた418件のサイバー犯罪逮捕事例を分析した結果が公開されました。
逮捕されたサイバー犯罪者の年齢分布
| 年齢層 | 割合 |
|---|---|
| 35〜44歳 | 37%(単一年齢層で最多) |
| 25〜34歳 | 30% |
| 18〜24歳 | 21% |
| 18歳未満 | 5%未満 |
25〜44歳で約60%を占めています。
ドラマや映画で描かれる「パーカーを着た10代の天才ハッカー」のイメージとはかけ離れた現実です。
記事が伝えること
レポートは、サイバー犯罪は「大人のビジネス」になっていると指摘しています。
逮捕された犯罪者のほとんどは「住宅ローンに悩む中年層」であり、金銭目的の実利的な犯罪として行われている、という現実です。
この記事から考えたいこと
このデータを見て、「ふーん、そうなんだ」で終わらせるのはもったいないと思いました。
なぜなら、多くの中小企業が「狙われない」と思っている根拠のひとつが、犯罪者像の誤ったイメージにあるからです。
「天才が高度な技術で攻撃してくる」は間違い
「うちは狙われない」という感覚の根っこには、こんな思い込みがあるかもしれません。
- ハッカーは高度な技術を持った特別な存在
- だからこそ、価値のある大企業や政府機関を狙う
- 小さな会社は眼中にないはず
でも実際は、「住宅ローンを抱えた中年層が、金目的でビジネスとしてやっている」というのが現実の姿です。
「ビジネス」として行われるサイバー犯罪
「ビジネスとして行われる」ということは、採算が合うかどうかで標的を選ぶということです。
大企業への攻撃は確かに高額な見返りが期待できます。
しかし、防御も厚く、発覚した際のリスクも高い。
その点、中小企業はどうでしょうか。
- セキュリティ対策が手薄
- インシデント対応の専任担当者がいない
- 攻撃されても気づくのが遅い
「大企業ほどの見返りはないが、リスクが低い」というのが中小企業への攻撃のコスト感です。
少額でも数をこなす。
これはどのビジネスでも同じ発想です。
ランサムウェアが「中小企業狙い」になっている背景
実際、ランサムウェアの被害は中小企業でも増えています。
「大企業は身代金を払いそうで、中小企業は払わないだろう」と思うかもしれません。
でも、現実は逆のことも起きています。
大企業にはバックアップ体制や復旧チームがあるので「払わずに復旧」を選択できることが多い。
一方、バックアップが不十分な中小企業は「払わないと業務が再開できない」という状況に追い込まれやすいのです。
攻撃者から見れば、「中小企業の方が払ってくれる可能性が高い」ということです。
「特別な誰かが狙う」のではなく「仕組みが自動で探してくる」
もう一つ、イメージを更新したい点があります。
「ハッカーが手動で標的を選んでいる」というイメージですが、多くの攻撃は自動化されたツールが無差別にスキャンして脆弱なターゲットを探すという仕組みで行われています。
インターネットに接続しているサーバーやルーターの脆弱性を、24時間自動で探し続けるプログラムが動いています。
「うちを狙う理由がない」ではなく、「仕組みが脆弱なところを自動で見つけてくる」という発想の転換が必要です。
では、何をすればいいか
「そんな現実があるなら、もう何もできない…」と思わないでください。
中小企業でも今すぐできることは、きちんとあります。
ポイントは「面倒なターゲット」になること
攻撃者が「ビジネス」として動いているなら、「コストがかかりすぎる標的」は後回しにされます。
完璧なセキュリティは不要です。「簡単には侵入できない」と思わせることが目標です。
今すぐできる3つのこと
1. ソフトウェア・機器のアップデートを滞らせない
自動スキャンが探しているのは「既知の脆弱性を持ったシステム」です。
Windows Update、ルーターのファームウェア、WordPressのプラグイン。
これらを最新の状態に保つことが、自動スキャンからの防御になります。
2. パスワードを「推測されにくいもの」にする
「admin」「company123」「社名+年号」のようなパスワードは、自動ツールが辞書攻撃で数秒で突破します。
パスワードマネージャーを使って、ランダムな長いパスワードを設定することが有効です。
3. 多要素認証(MFA)を有効にする
パスワードが漏れても、2段階目の認証があれば不正ログインを防げます。
Microsoft 365やGoogleアカウントのMFAは、無料で設定できます。
今日からできること
- 「うちは狙われない」という言葉を、社内で使わないようにする(思い込みが対策の先送りにつながります)
- オフィスのルーターやWi-Fi機器のファームウェアが最新かどうか確認する
- 主要なクラウドサービス(Microsoft 365 / Googleアカウント)の多要素認証が有効になっているか確認する
まとめ
今回のポイントをまとめます。
- サイバー犯罪逮捕者の37%は35〜44歳。25〜44歳で約60%を占める「大人のビジネス」
- 「パーカーの天才少年」イメージは現実と大きく異なる
- サイバー犯罪は採算ベースで動く。防御が手薄な中小企業は「コスパのいい標的」になりやすい
- 攻撃の多くは手動ではなく自動ツールによる無差別スキャン。「狙われる理由がない」は通用しない
- 対策の目標は「完璧な防御」ではなく「面倒なターゲット」になること
- アップデート・パスワード強化・多要素認証の3つが今すぐできる第一歩
1人で情シスをやっていると、「今の状態で大丈夫だろう」という感覚に頼りたくなることがあります。
でも、「大丈夫かどうか」を確認するための情報を定期的に仕入れることが、1人情シスにとって一番大切な習慣かもしれません。
この記事が、そのきっかけの一つになれば嬉しいです。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「うちみたいな小さい会社、本当に狙われるの?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
「実は、中小企業こそ狙われやすいという現実があります。
サイバー犯罪者の多くは金目的で動いています。大企業は防御が厚く、攻撃のコストが高い。一方、中小企業は防御が手薄で、バックアップも不十分なことが多い。攻撃者から見ると『効率のいい標的』になりやすいんです。
しかも攻撃の多くは、脆弱なシステムを探す自動ツールが動いていて、人が手動で標的を選ぶわけではありません。インターネットにつながっていれば、自動で見つかります。
だからといって、全部を完璧にする必要はありません。まず多要素認証の設定とソフトウェアのアップデートを徹底するだけで、『簡単には侵入できない』という状態に近づけます。
順番に対策を進めさせてください。」
「狙われる」という話をするとき、経営者が「だったらどうすればいいんだ」と思えるよう、必ず「次のアクション」をセットで伝えることがポイントです。
不安を煽るだけでなく、「動く理由」を作ることが大切です。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
