被害の深刻さで言えば過去最大級――。出版大手のKADOKAWAが2024年6月にランサムウェアによるサイバー攻撃を受けました。25万人の個人情報が流出し、KADOKAWAは書籍の受注システムやニコニコ動画などのサービスが一時停止したことで売上が84億円減少すると見込んでいます。

ランサムウェアの進化

 近年、犯行グループが日本企業を狙っていると思われる事態がとても増えています。ランサムウェアとは、英語で身代金を意味するRansomとSoftwareを組み合わせた言葉で、身代金脅迫型ウイルスとも言われます。15年以上前からあるコンピュータウイルスで、パソコンやスマートフォンなどのデータを暗号化して利用できないようにして「お金を払えば元の状態に戻す」と脅すものでした。

 しかし、2019年、2020年頃から主に2つの点で変わってきました。

 一つは「二重脅迫」が増えたこと。暗号化するだけではなく、さらに「情報を公開するぞ」と二重の脅迫をします。企業としては、業務が止まるだけではなく、社会的な評価や価値を下げる可能性があり、窮地に追い込まれます。

 ランサムウェアの犯罪グループはたくさんあります。多いのはロシア系で、ランサムウェアを開発しているチーム、運用して攻撃するチームなど分業体制になっています。

 KADOKAWAを狙った「ブラックスーツ」は、金銭を支払ってもデータを流出させるというボッタクリ型の組織だったようです。

 もう一つ変わったのが、侵入ルートです。コロナ禍でリモートワークが進み、VPN(ヴァーチャル・プライベート・ネットワーク)を利用する企業が増えました。VPNとは外部から社内サーバーなどにつなぐ仕組みで、いわばインターネットに専用のトンネルを作って外部から接続するときに利用するもの。このVPN装置に「脆弱性(外部から攻撃されると侵入されてしまう原因となる弱点)」があり、よく狙われています。

KADOKAWAの被害規模が大きかった理由

 これらの被害が2020年以降は圧倒的に多いのですが、なかでもKADOKAWAは特に規模が大きかった。その理由は「プライベートクラウド」というシステムを攻撃されたからです。

 クラウドとは、インターネット上にファイルやサーバーなどを置けるサービスのことで、AmazonやGoogleなどがやっています。これをKADOKAWAは自社で作って管理していました。ところが、プライベートクラウドの管理アカウントまで侵害され、クラウド全体が乗っ取られてしまったのです。そのため、攻撃された後は事実上ゼロからシステムを作り直すことになりました。

 現在、ランサムウェア大企業狙いが多く、個人がターゲットになるものはあまり聞きません。

 しかし、警戒は必要です。個人や中小企業でも侵入ルートとして使われる可能性が高い。KADOKAWAの件では、偽サイトに誘導して情報を不正に入手する「フィッシング」という手口で、従業員のアカウント情報が盗み取られたことが根本原因だと推測されています。

 このフィッシングの被害に遭わないためには、偽サイトやメールの添付ファイルに注意が必要です。「請求書を添付しました」というメールのエクセルファイルを開くとウイルス感染するものや、ワード文書のURLへのリンクを開くと感染するタイプがあります。相手が本当に送ったのか、電話やLINEなど、メール以外の手段で確認するくらい慎重になったほうがよいかもしれません。

対策の基本はアップデート

 また「うちなんか大したデータないから問題ないよ」と思っている中小企業も要注意。2022年10月に大阪急性期・総合医療センターで31台のサーバーランサムウェアに感染しました。この病院は対策していましたが、食事を搬入する給食業者が使っていたVPN装置に脆弱性があり、侵入されてしまったのです。

 中小企業を足場にして大企業を狙うパターンが増えています。ですから、サプライチェーン(供給網)、取引先や下請け業者などから侵入されることが多いので、大企業と同じような基準で対策をしないと攻撃を受けてしまいやすいのです。

 では、どんな対策をすればよいか。

 個人なら、Windowsのパソコンに標準搭載されているウイルス対策ソフト「Windowsセキュリティ」を有効にしてください。また重要なデータは、1週間や1か月に一度とか定期的バックアップをUSBなどにとっておきましょう。

 そして、対策の基本は、個人でも企業でもアップデートです。すべてのソフトウェアには脆弱性があり、日々発見され、修正プログラムが配布されているので、パソコンやスマホのOSやアプリ、基本ソフトは自動的にアップデートする設定にしておくといいですね。

「たった二つだけ」守るべきパスワードのルール

 また、パスワード管理にも気をつけましょう。パスワードに関するルールは単純でたった二つ。

 一つは、使い回さないこと。大変ですが、パスワードはすべて別のものにしましょう。攻撃者は入手したIDとパスワードのリストを用いて、他のサイトでもログインしようとしますから。

 二つめは、定期的に変更する必要はないので、一文字でも長くすること。覚えようとするから短く単純なものにしてしまいがちなので、自分すら覚えられないものにして、「ワンパスワード」などの管理ソフトを使ったり、Google ChromeSafariなどインターネットブラウザに覚えてもらえばいい。不安なら紙に書いたり、Excelのファイルに記入して、さらにパスワードをかけたりしましょう。

 個人なら、お金をかけなくても、普段の心がけで十分対策ができます。一方、企業の場合は規模にかかわらず、事業継続のためにも、セキュリティ対策のために投資をしなければならない時代になっているのです。

◆このコラムは、政治、経済からスポーツや芸能まで、世の中の事象を幅広く網羅した『文藝春秋オピニオン 2025年の論点100』に掲載されています。

(三上 洋/ノンフィクション出版)

©Trickster/イメージマート