本日、私のスマホに警視庁捜査2課のイワタとなのる若い男性から電話がありました。
富山県警の捜査協力で、身分証明書を持って富山県警察に出頭して下さいとのこと。
もう電話番号「+979・・・・」をみた段階で、きっと詐欺のたぐいだろうと思いましたが、出てみると警察を名乗ってきたので「やっときた!」と思い、しばらく話に付き合うことにしました。
しかし、途中で悟られてしまったのか、電話を切られてしまって・・・
本当はオンラインでの事情聴取を受けるところまで行ってみて、実際の手口を体感したかったのですが、縁起仕切れませんでした。
詳細はnoteに書いてますので、下記よりご参照ください。
昨日、10月9日14時より、神戸市内にて兵庫県警察サイバーセキュリティ・捜査高度化センター サイバー企画課の方にご協力いただき、情報セキュリティに関する無料セミナーを開催いたしました。
参加者は約20名。皆さま非常に熱心で、質疑応答では次々と質問が飛び交い、予定時間を大きくオーバーするほどの熱気に包まれました。
セミナーの中では、兵庫県警が対応した令和7年上半期のランサムウェア被害件数がわずか5件という公式データが紹介されました。
しかし、兵庫県警と連携している民間セキュリティベンダーによると、実際には200件以上の出動があったとのこと。
つまり、警察に届出があったのはほんの氷山の一角にすぎず、水面下では想像をはるかに超える被害が発生している現実があるということです。
この数字には、私自身も強い衝撃を受けました。
「うちは小さい会社だから関係ない」と思っている中小企業こそ、最も狙われやすく、また被害を受けても公表しづらい現状があります。
被害の多くが表に出てこない構造そのものが、日本のサイバーセキュリティの課題のひとつだと痛感しました。
参加者の方々からは、
•「自分のセキュリティ対策は本当に十分なのか?」
•「次回は会社の取締役も連れてきて参加したい!」
•「パスワードの管理方法は、今のままでいいのか?」
といった具体的で前向きな質問が多く寄せられました。
それだけ関心の高まりと危機感が浸透し始めている証拠だと思います。
今後も警察当局や自治体と連携しながら、こうした実態を企業の経営層に伝え、「まずは知ること」「そして備えること」の重要性を広めていきたいと考えています。
ご協力いただいた兵庫県警察サイバー企画課の皆さま、ランサムウェアのデモをして下った警察庁近畿管区警察局兵庫県情報通信部の皆さま、そしてご参加くださった皆さまに心より感謝申し上げます。
一般社団法人中小企業をサイバー攻撃から守る会では、今後も中小企業を中心に、現場で役立つセキュリティ教育・研修・診断サービスを通じて、地域全体のサイバー防衛力向上に貢献してまいります。
AIとクラウド時代のセキュリティ課題:中小企業が今すぐ備えるべきこと
ここ数年でクラウドサービスと生成AIの活用が一気に広がりました。大企業だけでなく、中小企業においても「メール文の自動作成」「クラウド会計」「AIチャットでの顧客対応」など、日常業務にAIが自然に入り込んでいます。便利さと効率化の裏で、新たなセキュリティ課題が生まれていることをご存じでしょうか。
まず注意すべきは「データの所在」です。クラウドに保存したファイルや、AIサービスに入力した情報が、どこで処理されているかを把握していないケースは意外と多いです。特に機密性の高い顧客情報や社内資料を無意識にアップロードしてしまうと、漏えいリスクが高まります。
次に、AIを悪用したサイバー攻撃の進化です。最近は生成AIを使って日本語の不自然さがまったくないフィッシングメールが大量に出回っています。従業員が「おかしい」と気づけないほど精巧になっているため、従来の経験則だけでは見抜けません。
さらに、クラウド環境は「境界(オフィスの内と外)」が曖昧になるため、従来のファイアウォールだけでは不十分です。アカウントの乗っ取りや、不正アクセスによる内部侵入のリスクが高まるため、ゼロトラスト(すべてを信用せず検証する考え方)に沿った対策が求められます。
中小企業が取り組むべき第一歩は、以下の3つです。
1. 利用しているクラウドサービスの棚卸し:どのサービスにどのデータを置いているのかを明確にする。
2. 従業員向けのセキュリティ研修:AIが生成した不正メールの見分け方を学ぶ機会を設ける。
3. 多要素認証やUTMの導入:アカウントの不正利用を防ぐ仕組みを整える。
私たちの会社でも、CheckPoint社のUTMや不正メール訓練サービスを提供し、中小企業の「AI時代の守り」を支援しています。便利さとリスクは表裏一体。クラウドやAIを安心して活用するためにも、今こそ一歩踏み出す時期です。
サイバー攻撃は待ってくれません。今日の一歩が、明日の大きな安心につながります。
ぐるなび不正ログインに学ぶ:パスワードリスト攻撃と中小企業の実務対策
ぐるなびは、7月11日〜14日の期間、外部で漏えいしたID/パスワードを使い回して試す「パスワードリスト攻撃」が会員ログイン画面で確認され、対象会員のパスワードは強制リセット・個別通知、7月14日に個人情報保護委員会へ報告済みと公表されました(クレカ情報は保持せず漏えいなし)。発表は8月20日付。これは大手だけの話ではなく、ログイン機能のある“あらゆる中小サイト”が日常的に受けるリスクです。  
何が起きた?(用語解説)
パスワードリスト攻撃=他社サービスから流出した認証情報の“総当たり”。利用者が同じパスワードを使い回していると、一撃で突破されます。UIの脆弱性ではなく“人の習慣”を突くのが厄介な点です。 
企業側の即効対策(5つだけは最低限)
1. MFA(多要素認証)を既定化:TOTP/認証アプリを標準に。SMSのみは補助に。
2. パスワード使い回し検知:既知漏えいハッシュとの照合・強制更新フローを実装。
3. ログイン防御:リスクベース認証、試行回数制限、IP評判・ボット対策、reCAPTCHA等。
4. 異常検知と通知:深夜帯や新端末・新地域からの成功ログインは即時アラート。
5. 利用者教育:管理者・社員向けに「長くて使い回さない」原則とパスワードマネージャの利用を徹底。
なぜ「今」なのか
国内ではこの上半期もランサムやアカウント侵害が増加傾向。まず“侵入の入口”である認証強化に投資するのが、費用対効果の高い守りです。自社サイトにログイン機能がある、SaaSを社外公開している——いずれも他人事ではありません。 
まとめ
技術的には地味でも、MFA+検知+教育の三点セットが最短の防御線。社内ポータルや予約サイト、会員管理のどこに穴があるか、今日中に棚卸ししておきましょう。
ご不明な点がありましたら、いつでもお気軽にお問い合わせください。最新の対策や診断をご希望の方は、ぜひ一度ご相談ください。中小企業の情報セキュリティ強化を進めてまいりましょう!
国内企業も狙われる「生成AI悪用型攻撃」の最新動向と備え方
ここ数か月、世界的に注目を集めているのが「生成AIを悪用したサイバー攻撃」です。従来の攻撃は、不自然な日本語や粗い偽装で見破れるケースもありましたが、いまやAIが作成するメールは本物と区別がつかないほど精巧になっています。特に、標的型攻撃メール(特定の役職や業務を狙ったメール攻撃)は、経営者や役員クラスを直接狙う事例が国内でも確認され始めました。
背景には、攻撃者が生成AIを利用して短時間で大量の攻撃パターンを作成できることがあります。例えば、経理担当者宛に送る請求書メール、役員宛の会議案内、取引先からの依頼を装ったメールなど、現実に即した文章をAIが自動で生成してしまうのです。これでは「怪しい日本語表現に注意」といった従来の教育だけでは限界があります。
では、どう守れば良いのでしょうか。まず大前提として、技術的な防御と人的な対策を組み合わせることが不可欠です。
• 技術面では、UTM(統合脅威管理)や次世代ファイアウォールを活用し、未知の通信や不審な挙動を自動で遮断できる環境を整備すること。CheckPoint社のUTMのように、AIを活用したリアルタイム検知機能を備えた製品は特に有効です。
• 人的な面では、役員や社員を対象としたセキュリティ研修や、不正メール訓練の実施が欠かせません。実際に「本物そっくりの攻撃メール」を体験してもらうことで、意識の向上につながります。
中小企業にとって「うちは狙われない」という思い込みは危険です。攻撃者にとって、セキュリティ対策が甘い企業は格好の標的になります。被害が発生した場合、取引先や顧客との信頼を一気に失うリスクがあることを、経営層こそ真剣に受け止める必要があります。
AIが攻撃の質と量を変えているいま、守りの姿勢も「従来の延長線」では通用しません。最新の技術導入と社員教育を両輪にして、自社のセキュリティ体制を強化していきましょう。
ご不明な点や最新の対策導入をご検討中の方は、ぜひ一度ご相談ください。
無料相談はこちらから。
https://www.gatewaylink.co.jp/inquiry_free/
社員教育の落とし穴?情報セキュリティ研修を「やりっぱなし」にしない工夫
社内で情報セキュリティ研修を実施しても、数日後には内容を忘れてしまう――そんな経験はありませんか?
実はこれは珍しいことではなく、人は新しく学んだことを一度で定着させるのが苦手だからです。特にセキュリティ研修は「普段の業務と直結しない」と感じられやすく、記憶の優先順位が下がりがちです。
しかし、攻撃者は容赦ありません。たとえば最近増えている「なりすましメール」や「巧妙な添付ファイル付きメール」は、社員一人がクリックしてしまうだけで、組織全体に被害が及ぶ可能性があります。だからこそ、「学んだ知識を行動につなげる仕組みづくり」が欠かせないのです。
具体的には、次の3つの工夫が効果的です。
1. 小分けにした学びを繰り返す
一度の長い研修よりも、月1回の短時間セッションや社内ニュースでの小ネタ配信が効果的です。
2. 実体験に近い訓練を行う
模擬フィッシングメール(※社員にテスト用の偽メールを送る訓練)を組み合わせると、危険を体感的に理解できます。
3. 経営層も参加する
「うちの社長も研修に出ている」と分かれば、社員の意識はぐっと高まります。トップの姿勢が何よりのメッセージになります。
弊社では、セキュリティ研修だけでなく、不正メール訓練サービスも提供しています。訓練結果のフィードバックを通じて「なぜ引っかかったのか」を分析し、改善策を具体的に示すことが可能です。単なる教育イベントで終わらせず、社内文化として根付かせることが、最終的なゴールです。
セキュリティは一朝一夕で強化できるものではありません。継続的に「気づき」を与え続けることが、攻撃に強い組織づくりの第一歩です。
「中小企業だから大丈夫」と油断していませんか?
明日はあなたの会社が狙われるかもしれません。
ご不明な点や最新の対策については、ぜひお気軽にご相談ください。
中小企業が見落としがちな「社内セキュリティルール」の落とし穴
中小企業の経営者の方からよく聞くのが、
「社員には注意するよう伝えているが、どこまでやれば十分かわからない」という声です。
実際、社内でルールを作ったとしても、形骸化してしまい、現場では守られていないことが多々あります。たとえば――
• USBメモリの使用禁止:禁止を掲げても、現場で「ちょっとだけなら」と使われてしまう
• パスワードの定期変更:ルールはあるが、結局「1234」や「password」など形だけの更新にとどまる
• メールの注意喚起:全社員に通知しても、実際に不審メールを見抜ける人は少ない
このような「ルールと実態の乖離」が、サイバー攻撃の入口になっているのです。
なぜルールが守られないのか?
多くの場合、ルールが「現場感覚とかけ離れている」ことが原因です。
たとえば、「USBを全面禁止」ではなく「どうしても必要な場合は申請を出す」など、現実的な運用に落とし込むことが大切です。
また、ルールは一度作って終わりではなく、定期的な見直しが欠かせません。クラウド利用やテレワークの拡大に伴い、数年前のルールが今の働き方に合っていないケースも少なくありません。
実効性を高めるための3ステップ
1. 社員に分かりやすい言葉で周知
専門用語を避け、イラストや具体例を交えて伝える。
2. 定期的な訓練を実施
不正メール訓練やセキュリティ研修を通じて「体験」することで身につく。
3. 仕組みで守る
CheckPoint社のUTMなど、外部からの攻撃を自動的にブロックする仕組みを導入し、「人頼み」の部分を減らす。
特に、社員教育と技術的な防御をバランスよく組み合わせることがポイントです。
中小企業だからこそ、「人」と「仕組み」の両輪を意識したセキュリティ対策が求められます。
ご不明な点がありましたら、いつでもお気軽にお問い合わせください。
中小企業の情報セキュリティ強化を一緒に進めてまいりましょう!
無料相談はこちら
https://www.gatewaylink.co.jp/inquiry_free/
「防災の日に考える ― サイバー攻撃にも“備え”が必要です」
本日9月1日は「防災の日」。地震や台風など自然災害への備えを見直す日として広く知られていますが、近年では「サイバー災害」にも備える必要性が高まっています。
実は先月、国内の自治体や企業を狙ったサイバー攻撃の被害報告が相次ぎました。特に目立ったのが ランサムウェア(身代金要求型ウイルス) による被害で、重要データを暗号化され、業務が数日間停止したケースもあります。自然災害と同じく「いつ」「どこで」被害に遭うかは予測が難しく、事前の対策が明暗を分けます。
ここで押さえておきたいのは、サイバー攻撃の「想定外」が日常的に起きているということです。
・取引先を装った不正メール
・AIで自動生成されたディープフェイクの音声や映像
・VPNやサーバーの脆弱性を突いた侵入
こうした攻撃は、中小企業を含め誰もが標的になり得ます。
では「備え」として、何から始めればよいのでしょうか。
まずは災害対策と同じく「基本の3ステップ」を意識することが有効です。
1. リスクの把握
どの資産(サーバー、PC、顧客データ)が守るべき対象かを棚卸し。
2. 対策の実施
UTM(統合脅威管理)を導入し、外部からの侵入や不審な通信を遮断。社員向けにはセキュリティ研修や不正メール訓練で“人の防御力”を高める。
3. 復旧の準備
バックアップの定期実施、インシデント発生時の対応ルールを明文化。
特にUTM(例:CheckPoint社製)は「防火壁」のように外部からの脅威を止める役割を果たします。自然災害で言えば堤防や耐震構造にあたる部分です。さらに、社員のセキュリティ意識を高める研修は「避難訓練」と同じ。どちらも欠かせない備えです。
「防災の日」の今日こそ、会社の“サイバー防災”を見直す絶好のタイミングです。
明日はあなたの会社が狙われるかもしれません。備えあれば憂いなし。
ご不明な点がありましたら、いつでもお気軽にお問い合わせください。
無料相談はこちらから
https://www.gatewaylink.co.jp/inquiry_free/
社員のITリテラシーを高める第一歩は「ルールの見える化」
サイバー攻撃が年々高度化するなか、企業にとって最も脆弱なポイントは「人」であることが多いと指摘されています。システムに最新のセキュリティ機能を導入しても、社員一人ひとりの意識が低ければ意味を成しません。
そのために欠かせないのが 社内ルールの「見える化」 です。
例えば、パスワードの取り扱い。
「定期的に変更すること」「他サービスと使い回さないこと」といった基本ルールを作っていても、文書が分かりにくかったり、周知が一度きりだったりすると、社員はつい従来の習慣に戻ってしまいます。
ここで効果的なのは、ルールを具体的な行動例として示すことです。
• 例:パスワードは英数字+記号で12文字以上
• 例:不審なメールはリンクを開く前に必ず上長へ相談
• 例:USBメモリは社内承認済みのもの以外は使用禁止
こうした 「やってよいこと」「やってはいけないこと」 を、箇条書きや図解で共有すると理解度が大きく高まります。さらに、ポスター掲示や社内ポータルへの常設で「いつでも見直せる」状態を作ることが重要です。
また、単なるルール配布に留まらず、研修や模擬演習 と組み合わせると定着が加速します。たとえば、不正メール訓練を年に数回実施すれば、実際にどんなメールに注意すべきかを体感できます。加えて、情報セキュリティ研修を通じて「なぜそのルールが必要なのか」を理解すれば、社員は受け身ではなく自分ごととして行動するようになります。
セキュリティ対策は、システム導入だけでは不十分です。人とルールと教育 の三位一体でこそ力を発揮します。まずは御社のルール、社員のみなさんに伝わりやすい形になっていますか? 一度見直してみる価値は大きいと思います。
無料相談はこちらからどうぞ
https://www.gatewaylink.co.jp/inquiry_free/
大学を狙った不正アクセス事件から学ぶ ― 中小企業も他人事ではないサイバーリスク
8月も後半、夏休み期間を利用して大学や研究機関がオンラインシステムを稼働させ続けている中で、不正アクセスによる被害が報告されています。直近では、関西の某大学で学内のポータルシステムが侵入され、学生や教職員のアカウント情報が一時的に外部に流出した可能性が指摘されました。幸い、金銭的被害や大規模なシステム停止には至りませんでしたが、数千件単位のログイン情報が対象になったとされています。
教育機関は狙われやすい存在です。研究データや学生の個人情報など、価値のある情報が集中している一方で、利用者が多くセキュリティ教育が行き届きにくいという弱点があります。今回のケースも「使い回しパスワード」や「安易なID管理」が攻撃の突破口になった可能性が高いとみられています。
ここで重要なのは、大学の事件だからといって安心できないということ。中小企業でも、社員アカウントが1つ突破されれば、社内のファイルサーバーやメールシステムに芋づる式に侵入されてしまうリスクがあります。特に近年は「ランサムウェア(身代金要求型ウイルス)」の被害が深刻で、バックアップごと暗号化されるケースも少なくありません。
中小企業が今すぐできる3つの対策
1. パスワードの強化と多要素認証の導入
複雑なパスワードを設定するだけでなく、ワンタイムコードや認証アプリを併用しましょう。
2. 不審メール対策の徹底
フィッシングメール(偽装メール)は依然として入口攻撃の主流です。不正メール訓練サービスを活用して社員の注意力を高めることが有効です。
3. システムの脆弱性診断
古いサーバーや未更新ソフトは攻撃者に狙われやすいポイントです。定期的な診断で“穴”をふさぐことが必要です。
「大学の事件」は決して遠い話ではなく、どの企業でも起こり得る現実です。今日からでもできることを始め、被害を最小限に食い止める備えをしましょう。