なぜ中小企業における不正送金被害が続出しているのか最終回「社会インフラ化しているインターネットの上手な付き合い方」

第1回から6回に分けて、中小企業のインターネットセキュリティの実態を説明してきました。新聞やテレビ等、私たちが日頃目にする情報は、あくまでも氷山の一角です。

この記事を書いている期間だけでも、サイバー攻撃の被害に遭った例として、いくつも相談を受けています。

例えば、ＰＣが乗っ取られ、遠隔操作されていた事例。以前、ＰＣが何者かに乗っ取られて、夜中に電源が立ち上げられ、遠隔操作された結果、インターネットバンキングの不正送金に加担してしまった事例をお伝えしました。

このケースは、ＰＣの電源を切ったにも関わらず、勝手に電源が立ち上がってきたり朝、会社に出社すると（電源を切って帰宅していたにも関わらず）ＰＣが立ち上がっており遠隔操作された結果、インターネットバンキングの不正送金被害の片棒を担ぐ結果になってしまった事例でした。

「このような問題が発生しているんですよ」と北海道のとある中小企業の経営者に伝えたところ、経営者の顔が真っ青になり、私に向かってこう伝えてきました。「実は今、私のＰＣがそのようになっているんです・・・」実際に、遠隔操作プログラムが仕掛けられており、下手をすると上記のように犯罪の片棒を担ぐ、あるいは同じネットワーク上にある、インターネットバンキングを利用しているＰＣに飛び火してしまい不正送金の被害に遭うなどの可能性もありました。

●大型連休前の注意点

この相談を受けたのは、翌日から３連休に入る直前でした。実は連休中は、サイバー攻撃などにもっとも注意を払うべき時です。

特に大型の連休になると、誰も出社しないため数日間会社のオフィスに人が立ち入らなくなります。ＰＣが乗っ取られている場合は、格好の「実験の場」になってしまい、好き放題遠隔操作されるケースも見受けられます。

これからゴールデンウィーク等の連休がいくつもあると思いますが、連休前にＰＣの電源を根元から抜いておき、通電させないでおくことも有効な手段となりますので、是非覚えておいてください。

●全国の中小企業被害事例

このような事例で話をしていると、「実は私も・・・」というように、全国各地で被害に遭遇しているケースに出会います。

例えば、ＰＣが乗っ取られてしまい、オンラインゲームで勝手に遊ばれていた例（北海道）。

イスラム国（ＩＳＩＳ）絡みの情報をネットサーフィンしていたところ、ＰＣが乗っ取られてしまい、いきなりデスクトップ端末画面に、フォルダが「ダダダダダダ・・・」といくつも開いてしまった例（徳島）。

いずれもＰＣを再インストールし問題解決を図ったということでしたが、そもそもこういった中小企業での被害というのはなかなか表面上に出にくい特性があるのです。

●インターネットと上手に付き合うために「会社としてのルール決め」「社員教育」が今以上に必要な時代はない

以上、様々な事例を通して、サイバー被害に関する内容をお伝えして参りました。今後益々、インターネットの便利さを活かした様々なサービスが登場します。IoT（Internet of Things：あらゆるモノがインターネットに接続される、ということ）の時代の到来です。ＰＣ等の情報機器のみならず、「家電」「自動車」「時計」「アクセサリー」等、様々なものが「インターネット」というインフラに接続される時代が既に幕を開けています。

例えば主婦が、スーパーで買い物中に「我が家の冷蔵庫に何が残っていたかしら？」と気になりスマホ経由で冷蔵庫の中身を確認する等が当たり前のようにできる時代が来ているのです。このように利便性が高まるということは、同時にセキュリティリスクが増大することだということも認識しなくてはいけません。

第五回目の記事でお伝えしたように、UTM（統合脅威管理）のように自動的に守ってくれるシステムに頼るところは、システムに任せてしまえばよいのですが、もう一つ大切なことがあります。それは「人」に対する啓発活動、教育や会社としての「ルール決め」です。インターネットの活用には注意が必要なこと、知らない間にパソコンが乗っ取られたり、情報が盗まれる可能性があること。また、多発してる情報セキュリティ事件は、他人事ではないこと。業務時間中や、会社のパソコンを使って、ネットサーフィンして遊んでいると取り返しのつかないことがある可能性があること。遊ぶなら自宅でやるべきなど。

情報被害への手口や対策方法をしっかりと社員教育してください。それと同時に、会社としてのルール決め、情報セキュリティに関するルール（情報セキュリティポリシー）を作りましょう。

例えばUSBメモリを取り扱うのであれば、ウィルス対策つきのUSBメモリを使うこと。そもそもUSBメモリを使わせないように、PC上でロックをかける仕組みを導入すること。インターネットバンキングを扱っているパソコンでは、バンキング以外の業務をしないこと（インターネットバンキング専用機とすること）。メールを開くときは、数名のチェックを行い、開封すること。情報の持ち出しルールを決めること。セキュリティ委員会という組織を設けること。月に1度はセキュリティ委員会による内部監査を経営トップ主導で行うこと。社内規定を見直すこと。もしく場合は罰則規定を設けること。明文化して会社のルールとして定義しましょう。成長力の高い企業は「人、モノ、金、情報」の４つの経営資源のうち、「情報」で圧勝しています。だからこそ、情報セキュリティ対策は、企業の存続に関わる、待ったなしで取り組むべき重要な経営課題です。

●マイナンバー制度実施前の心がまえ

本年10月からマイナンバー制度が始まります。マイナンバー制度は、あらゆる事業者が「特定個人情報」というデリケートな情報を扱うことになります。国が総力を挙げて取り組むマイナンバー制度ですが、中小企業のセキュリティ対策がほぼ完備されていない中でスタートした結果、多くのサイバー被害が出てくる可能性が高いことを、私は非常に強く懸念しております。

本内容を参考にしていただき、「今日から」「すぐに」取り掛かり、自社の大切な経営資源である「情報」と「お金」を守る対策に着手されることを心から願ってやみません。

《船井総合研究所経営コンサルタント那須慎二／技術監修ウォッチガード・テクノロジー・ジャパン》