大手製造業も被害に…ランサムウェアの脅威と中小企業が学ぶべき教訓とは？

2025年6月、日本を代表する製造業の一社が、海外ハッカーグループによるランサムウェア攻撃の被害に遭いました。
一時的に複数の工場が停止し、生産スケジュールの大幅な見直しを余儀なくされるなど、影響は大規模でした。

ランサムウェアとは、感染したPCやサーバー内のデータを暗号化し、「元に戻してほしければ金銭を払え」と脅す身代金要求型マルウェアのことです。
今回の攻撃では、業務用のメールサーバーが最初の侵入口となったと見られており、担当者のメールアカウントに送られた偽の請求書PDFファイルを開いたことが原因と報道されています。

驚くべきは、この企業のセキュリティ対策が決して甘かったわけではないという点です。
ファイアウォールやUTM、アンチウイルスなどの基本対策は一通り整備されていたにもかかわらず、「人の判断ミス」によって防御を突破されてしまったのです。

これは中小企業にとっても他人事ではありません。
むしろIT人材や体制が整っていない中小企業ほど、ひとたび被害を受けると再起不能になるリスクが高いのです。

では、何ができるのでしょうか？

まず重要なのは、「人」を守る仕組みをつくること。
たとえば、定期的な不正メール訓練やセキュリティ研修の導入です。
今回のような「請求書に見せかけたPDF」の開封を避けるには、「違和感を持つ力」が必要です。
この力は、繰り返しの訓練や事例学習を通じて育てることができます。

また、被害が起きたときに備えて、バックアップの整備やインシデント対応手順の明確化も必須です。
「まさかうちが…」ではなく、「明日はうちかもしれない」という危機感をもつことが、最大の防御になります。

ご不明な点がありましたら、いつでもお気軽にお問い合わせください。
中小企業の情報セキュリティ強化を進めてまいりましょう！

では今日もセキュアな一日を。

【実録】中小企業を狙った不正アクセス被害―6月に発生した国内事例から学ぶ

2025年6月、ある国内の中小企業が、不正アクセスによる被害を受けたことがニュースで報じられました。被害に遭ったのは、東京都内で建設関連業を営む従業員30名ほどの企業。攻撃の発端は、社員が業務用に利用していたクラウドストレージのIDとパスワードが流出していたことでした。

◾️パスワード使い回しが原因に

この企業では、複数の社員が同じパスワードを様々な業務ツールで使い回していたことが発覚しています。攻撃者はダークウェブ上に流出していた情報を元に、クラウドサービスに不正ログイン。顧客情報や見積データが大量にダウンロードされていたとのことです。

また、この攻撃は“ブルートフォース攻撃”ではなく、“クレデンシャルスタッフィング”と呼ばれる手法が使われたと見られています。これは、過去に漏洩したID・パスワードの組み合わせを自動で試してログインを狙う手口で、特に中小企業に多い「パスワード管理の甘さ」が狙われやすいポイントです。

⸻

◾️中小企業こそ「入口対策」を

このような事件は「大企業だけの話」ではなく、むしろセキュリティ対策が不十分になりがちな中小企業こそ狙われやすい傾向にあります。

社員全体の「ITリテラシー」や「パスワード管理意識」を高めることも不可欠です。当社でも実施しているIT研修や不正メール訓練などを通じて、地に足の着いた対策を始めましょう。

また、UTM（統合脅威管理）などの導入で「ネットワークの入口対策」を強化することが、被害防止に効果的です。

⸻

最後にひとこと

情報漏洩は、取引先の信用を一瞬で失うことにもつながります。明日はあなたの会社が狙われるかもしれません。パスワードの見直し、そしてセキュリティ教育の導入から、今すぐ始めましょう！

最新の対策や診断をご希望の方は、ぜひ一度ご相談ください。

では、今日もセキュアな1日を！

この度、愛知県名古屋市を拠点として、中部支部を発足することになりました！
今年1月に名古屋市内で行いました、愛知県警察様との合同勉強会にご参加くださった西川さんという方が、なんと京都府警察様との合同勉強会、警視庁様との合同勉強会にもそれぞれご参加くださいまして、ぜひ何かお手伝いをさせて欲しい！と熱烈にご要望いただきましたので、せっかくならと言う事で中部支部を発足し、支部長をお願いする事にしました。
愛知県、岐阜県、三重県、静岡県あたりは、中部支部管轄になろうかと思います。今後各県警様との連携した活動にも繋げていければと考えていますのでご期待ください！

皆さんこんにちは！
ずいぶん暖かくなってきましたね。少しずつ夏が近づいてきている雰囲気を感じますが、皆様いかがお過ごしでしょうか？

パスワードはランダムな12桁以上にしましたか？

AIを悪用したディープフェイクの脅威！
偽物に騙された！英国大手企業アラップの事件とは？

今回は、「AIがもたらす最新の脅威」についてご紹介します。
オーストラリアの有名な建築物「オペラハウス」を作った、あの世界的な大企業でさえ被害に遭った、まさに今知っておくべき事件です。

事件の概要

2024年、イギリスに本社を置く世界的エンジニアリング企業「アラップ（Arup）」が、AIによる“ディープフェイク”ビデオ会議を通じて、詐欺被害に遭いました。

犯人は、アラップのCFO（最高財務責任者）になりすました偽の人物を使って、香港の現地社員とビデオ会議を実施。なんとその映像は、「AIが生成した”本物そっくりの偽者”」*だったのです。

声も顔も、話し方もまるで本人そのもの。

疑うことなく、社員は指示通りに数千万香港ドル（数億円相当）を送金してしまいました。

ディープフェイクとは？

ディープフェイクとは、「ディープラーニング（深層学習）」と「フェイク（偽物）」を組み合わせた言葉で、AIが人間の顔、声、表情、話し方などを本物そっくりに再現する技術のことです。

最近では、SNSやYouTubeなどで「芸能人の偽インタビュー動画」が話題になることもありますが、それと同じ技術がビジネス現場に悪用され始めているのです。

なぜこの手口が成功したのか？

この事件が成立した要因は、以下のような複数の巧妙な仕掛けによるものでした。

・事前に社内情報を盗み、会話内容を自然に演出
・複数人の“偽社員”がビデオ会議に登場し、リアルな会議を再現
・メールやチャットでも整合性のあるやり取りを演出
・「緊急対応」として即断即決を迫る心理的プレッシャー

つまり、単に“顔が似ている”というだけではなく、周到に準備された詐欺だったといことです。

大企業だけの話ではない

この事件を聞いて「ウチは中小企業だから関係ない」と思っていませんか？

実際、中小企業はサイバー攻撃のターゲットにされやすい傾向があります。

その理由は明白です。

・セキュリティ対策が甘く、突破しやすい
・経営者との距離が近く、社長を装った指示が通りやすい
・情報セキュリティ教育が未実施、または一度きりで終わっている

AIを悪用した攻撃は、規模や業種を問いません。

誰でも、どんな会社でも、狙われる可能性があるのです。

今すぐできる具体的な対策

では、私たちは何をすればよいのでしょうか？

以下はコストをかけずに今すぐ始められる基本的な対策です。

✅「本当に本人か？」の多重確認を徹底
→ 重要な送金指示やデータ提出は、メール＋電話＋別ルート確認をセットで行う。

✅「違和感」に敏感になる
→ 普段の話し方と少し違う、声が機械的、表情がぎこちない…などに気づく力を養う。

✅ 社員全体でセキュリティ意識を共有
→ 定期的な情報セキュリティ研修で、自分ごととして捉える習慣づくり。

最後に

AIはビジネスを飛躍させる可能性も持っていますが、その反面、使い方ひとつで凶器にもなり得ることを忘れてはいけません。

そして、このアラップの事件は私たちにこう問いかけています。

「あなたは、本当に“見えているもの”を信じて大丈夫ですか？」

これからの時代、技術を信じることと、盲信することは違います。

身を守るのは、システムよりも“疑う力”と“確認する習慣”です。

当会では、”疑う力”を養う訓練の一環として、フィッシング・標的型攻撃メール訓練サービス「Mail Fort Insight」をリリースいたします。
訓練だけでは終わらず、訓練後のアンケート、結果分析レポート、改善コンサルまで含めた「本気」のメール訓練サービスで、10通無料トライアルもご用意しています。
ご興味のあるかたは、下記までお問い合わせください。

お問い合わせ
office@apsc.jp