日本企業がランサムウェアに狙われる理由（前編）

日本企業を狙ったランサムウェア被害は、いまや工場停止や物流停滞、情報漏えいなど、社会全体に影響を及ぼす問題になっています。

その背景には、攻撃者から見て日本企業が「攻撃しやすく、実入りも良い」きわめて魅力的な条件が揃った標的に映っている現実があります。

本記事では前編と後編の2回に分け、前編ではこうした背景を攻撃者の視点から整理し、日本企業が狙われやすい理由を読み解きます。

はじめに

昨今、日本国内ではランサムウェアの攻撃により、工場の生産が止まる、サービスが利用できなくなる、流通が止まる、個人情報が流出するといった、社会全体に影響を及ぼす大きな被害が発生しています。

なぜ日本企業の被害が増えているのでしょうか？
攻撃者の視点に立つと、日本企業は他の地域の企業に比べて「攻撃しやすく、かつ実入りが良い」という、きわめて魅力的な条件が揃ったターゲットとして映っています。
では、攻撃者目線でその理由について見ていきたいと思います。

日本語の壁の突破

日本語の壁の突破を示す図

かつて日本企業を狙うには、日本語の壁があり、自然なフィッシングメールやビジネス詐欺メールを作るには手間とコストがかかっていました。
しかし生成AIの普及によって、攻撃者は自然な日本語の文面を短時間かつ低コストで作れるようになりました。
つまり、日本企業向け攻撃のハードルは下がり、以前よりも狙いやすい市場になったといえます。

「踏み台」にできる手薄な中小企業・子会社が豊富にある

「「踏み台」にできる手薄な中小企業・子会社が豊富にある」を示す図

日本では中小企業が企業全体の99.7％を占めており、大企業と比べて、これらの企業は一般的にセキュリティ対策に十分なリソースを割くことが難しく、侵入の足がかりとして狙いやすい環境が広く存在しています。

さらに日本では、多数の取引先や委託先と密接につながるサプライチェーン構造を持つ企業が多く、ひとたび中小企業や子会社への侵入に成功すれば、その接続関係を利用して、より価値の高い大企業側へ到達できる可能性があります。

攻撃者から見れば、正面から堅牢な大企業を攻めるよりも、周辺の比較的弱い取引先を突破口にする方が、低いコストで大きな成果を狙えるわけです。

その意味で、日本の企業構造は、攻撃者にとって「手薄な入口が多く、侵入後にはより高額な身代金を期待できる本命企業へつながりやすい」というメリットが存在します。

侵入後の「拡散」や「隠蔽」が容易である

「侵入後の「拡散」や「隠蔽」が容易である」を示す図

日本企業の多くは、依然として「侵入されないこと」を前提にした予防的な対策に重きを置いており、侵入後の封じ込めや復旧を見据えた備えは十分とはいえません。

加えて、導入済みのセキュリティ対策についても、有効性の検証や継続的な見直しが不十分なまま運用されているケースがあります。

攻撃者から見れば、これは侵入後にすぐ検知・封じ込めされにくい環境を意味します。初動の遅れが生じれば、その分だけネットワーク内での横展開、権限奪取、バックアップ破壊、最終的な暗号化までを段階的に進める時間を確保しやすくなります。つまり日本企業は、侵入そのものだけでなく、侵入後に攻撃を完遂するための時間も稼ぎやすい標的として映るのです。