B-14:「ウイルス対策ソフトを入れているから安心」は危険 —中小企業が今すぐやるべきセキュリティ対策
「ウイルス対策ソフト」をすり抜ける攻撃とは?
今の攻撃はソフトをすり抜けてきます。中小企業が今すぐ取り組むべき、現実的なセキュリティ対策を優先順にお伝えします。
「うちはウイルス対策ソフトをちゃんと入れているから、セキュリティは大丈夫です」社長から、こういう言葉をよくお聞きします。気持ちはよくわかります。何万円もするソフトを入れたのだから、守られているはずだ、と。
ところが正直に申し上げると、ウイルス対策ソフトだけでは、今の攻撃の多くは防げません。これはソフトが悪いという話ではありません。攻撃の手口が変わっているのに、対策がそのままになっている。それが問題なのです。
この記事では、「ソフトを入れた=対策完了」という思い込みがなぜ危険なのかをご説明したうえで、中小企業が今すぐできる、現実的な対策をお伝えします。難しい技術の話はいたしません。経営判断として知っておいていただきたいことだけを、順を追って整理します。
ウイルス対策ソフトは「鍵」ではなく「警報機」です
ウイルス対策ソフトがやっていることは、ざっくり申し上げると「過去に確認された危険なプログラムのリストと照合する」という作業です。リストに載っているものは検知してブロックできます。しかし、リストに載っていないもの、または人間の操作を利用した攻撃には、ほぼ無力です。
家に例えるなら、ウイルス対策ソフトは「玄関の警報機」です。知らない人が強引に入ろうとすれば鳴る。でも、住人が自分で鍵を開けて招き入れてしまったら、警報は鳴りません。今の攻撃の多くは、まさにこの「住人に鍵を開けさせる」手口です。
今の攻撃は、ソフトをすり抜けてきます
最近、実際に増えている攻撃の手口をいくつかご紹介します。
取引先や宅配業者を装ったメールで、偽のログイン画面に誘導してIDとパスワードを盗む手口です。ウイルスは使わないため、ソフトでは検知できません。
ウェブ閲覧中に「ウイルスに感染しています」という画面が出て電話番号が表示されます。電話をかけると遠隔操作を求めてきます。ウイルス対策ソフトがあっても止められません。
取引先の担当者を名乗り、実際の業務内容に触れた自然な文面で添付ファイルを送ってきます。「いつもの取引先からだ」と思って開いてしまうケースが後を絶ちません。
スマートフォンで「あなたのアプリが壊れています」という広告が表示されます。タップすると不正なアプリがインストールされます。現在非常に増えています。
いずれも、ソフトがあれば防げる攻撃ではありません。「人間の判断」を狙ってくるのが、今の攻撃の特徴です。
中小企業が狙われる理由 →大企業より圧倒的に「ラク」だから
「うちみたいな小さな会社は狙われない」と思っていらっしゃいませんか。残念ながら、それは逆です。中小企業は大企業より圧倒的に狙いやすいのです。大企業にはセキュリティ専任の部署があり、社員教育も行き届いており、攻撃者にとって突破するコストが高い。一方、中小企業は専任担当がいない、社員教育も難しい、システムの更新が後回しになりやすい。攻撃者から見ると「手間がかからない」相手なのです。
また、中小企業を経由して大企業の情報を抜く「サプライチェーン攻撃」も増えています。「うちはただの下請けだから」が通用しない時代になっています。
では、何が「本当の対策」なのか
ウイルス対策ソフトを入れることは、もちろん大切です。引き続き使い続けてください。ただ、それは「最低限の一つ」であって、それだけで完結するものではありません。以下の4つを、優先順に整理しました。
① OSとソフトのアップデートを止めない
「アップデートの通知がうるさいから切っている」「業務中に再起動されると困るから後回しにしている」。よくお聞きする話です。しかし、アップデートの多くはセキュリティの穴をふさぐためのものです。穴がふさがれていないパソコンは、攻撃者にとって「開いた窓」と同じです。Windows 10のサポートは2025年10月に終了しました。まだ移行していない場合は、早急に対応をご検討ください。アップデートは業務終了後や週末に自動で行われるよう設定しておくのが現実的です。
② パスワードの使い回しをやめる →「パスキー」という新しい選択肢も
「覚えられないから、全部同じパスワードにしている」という方は、今すぐ対策が必要です。一つのサービスからパスワードが流出すると、同じパスワードを使っている他のサービスすべてに不正ログインを試みられます(「リスト型攻撃」)。
まず取り組んでいただきたいのは、パスワード管理ツールの導入です。信頼できるツールを一つ選んで、サービスごとに異なるパスワードを自動生成・管理する。これだけで相当なリスクを下げられます。また、重要なアカウントには「二段階認証」を設定しましょう。
そして最近、もう一歩進んだ仕組みとして「パスキー(Passkey)」が広がり始めています。スマートフォンの指紋認証や顔認証を使ってログインできる仕組みで、パスワードを入力する手間もなく、フィッシング詐欺にも騙されません。偽サイトに誘導されても、パスキーは本物のサイト以外では機能しないからです。GoogleやMicrosoft、Appleの主要アカウントではすでに対応しています。
③ バックアップを「別の場所」に取る。ランサムウェアへの備えとして
ランサムウェアという攻撃があります。パソコン内のデータを暗号化して「元に戻してほしければ金を払え」と要求してくる手口です。ウイルス対策ソフトが入っていても感染することがあります。対策は「バックアップを別の場所に保存しておくこと」に尽きます。パソコンと常時つながっているHDDやNASだけでは不十分で、感染するとそちらも道連れになることがあります。クラウドへの自動バックアップを基本としつつ、定期的にネットワークから切り離した外付けHDDにも保存する「オフライン保存」の運用が有効です。バックアップの考え方と具体的な3方式については、B-13「データが全部消えました」でくわしく解説しています。
④ 社員への周知 →人間がいちばん狙われやすい
技術的な対策をすべて整えても、社員が騙されてしまえば意味がありません。とはいえ、難しい研修をする必要はありません。まず社長として「こういう手口が今増えているよ」と朝礼や社内連絡で共有するだけでも、十分な効果があります。知っているか知らないかで、引っかかる確率は大きく変わります。社内ルールの具体的な作り方については、B-16でくわしくご紹介します。
まずこの5つを今週中に確認してください
難しいことはいりません。今週、以下をご確認いただくだけで、リスクはぐっと下がります。
- Windows・macOSのバージョンが最新になっているか確認する
- ウイルス対策ソフトの定義ファイルが最新か確認する
- パスワードを使い回していないか、主要アカウントを見直す
- 重要なアカウント(メール・クラウド・銀行)に二段階認証またはパスキーを設定する
- バックアップがクラウドと、切り離せるオフライン先の両方に取れているか確認する
※一人でできないと感じた項目は、専門業者への相談タイミングです。
以前、ある社長から「親戚が大変なことになった」とご連絡をいただきました。自宅でパソコンをお使いになっていたところ、突然「あなたのパソコンは壊れています」という画面が現れ、表示された電話番号に電話されてしまったそうです。途中から「このままではデータを復旧できない、数十万円必要だ」と豹変。
私にご連絡が来た時点では、すでに遠隔操作を許可されてしまっていました。まずインターネットの回線を抜き、電源も落として、私が到着するまで何もしないようにお伝えしました。調べると、パソコン内の文書や思い出の写真はすべて消去されていました。ただ、ご本人も気づかないまま別のハードディスクやクラウドに自動バックアップされていたデータがあって、それをかき集めてパソコンをクリーンインストールし、なんとか復旧することができました。
そのパソコンにも、ウイルス対策ソフトは入っていました。でも、ソフトは止めてくれませんでした。電話をかけて、遠隔操作を自分で許可したのですから、当然です。「ソフトさえ入れておけば大丈夫」という安心感が、むしろ判断を鈍らせることもあります。技術よりも、「変だと思ったら一度立ち止まる」という習慣のほうが、最後は人を守ることもあるのだと、この経験で改めて実感しました。
この記事のまとめ
- ウイルス対策ソフトは「警報機」。今の攻撃の多くはすり抜けてきます
- 中小企業は大企業より狙われやすい。専任担当がいないことが弱点になります
- 対策の優先順位は、①OS更新②パスワード管理・パスキー③バックアップ④社員周知
- ランサムウェア対策には、クラウドに加えてオフライン保存が有効です
- 「変だと思ったら立ち止まる」習慣が、技術よりも人を守ることがあります
