ランサムウエア(身代金要求型ウイルス)などによる不動産会社へのサイバー攻撃の被害が相次いで報告されている。経営者は改めて自分事として情報管理の意識と体制を見直すことも必要だ。
高まるリスク、体制整備重要
不動産業界でサイバー攻撃による被害が相次ぐ。
2024年には積水ハウス(大阪市)と別大興産(大分県別府市)が、それぞれサイバー攻撃による情報漏えいなどの被害を受けた。不動産会社は対応を迫られている。
積水ハウスは24年5月に、同社の会員制ウェブサイト「積水ハウスNet(ネット)オーナーズクラブ」がサイバー攻撃を受け、顧客や従業員の情報が外部に流出したと発表した。
原因は、08~11年に使用したフォトギャラリーで、運用していないページにおけるセキュリティー設定の不備だった。漏えいした顧客情報は10万8331人分、漏えいの可能性がある人数は46万4053人に上る。
公式発表では「情報セキュリティーを一層強化する」としている。
別大興産でも24年10月、ランサムウエアによるサイバー攻撃が発生した。
委託先から納入されたセキュリティー機器の設定不備が原因となり、攻撃者に社内ネットワークへの侵入を許した。その後、社内サーバーへの悪意あるアクセスが行われ、一部サーバーが使用不能となった。画面には「金銭を支払わないとデータを第三者へ売却する」旨の脅迫文が表示されたという。
同社は、サーバーの再構築とID・パスワードの変更、端末への常時監視機能や多要素認証の導入を進めるなど、全面的なセキュリティー体制の再構築を進めている。
経営持続に影響も
「サイバー攻撃が企業経営に及ぼす影響は大きい。個人情報が漏えいした可能性がある場合には、社内調査のため業務を一時的に停止することもある。風評被害によって長期的なブランドイメージの低下につながるなど、経営基盤そのものを揺るがしかねない」。NTT東日本(東京都新宿区)のビジネス開発本部CXビジネス部セキュリティサービス担当の長尾陽平氏は警鐘を鳴らす。
同社は中小企業を中心に、累計約7万6000社にサイバーセキュリティーサービスを提供してきた。「不動産業界は特に紙文化が根強い中で、急速にDX化を推し進めている。セキュリティー対策にまで手が回っていない事業者が多い印象だ」と長尾氏は話す。
主なサイバー攻撃の種類としては、マルウエア感染、フィッシング詐欺、設定不備、内部不正などが挙げられる(表参照)。
対策の基本は「侵入させないこと」だ。スパムメールの自動検知やフィルター機能の導入、社内ネットワークへの侵入防止など、初歩的な対策であっても効果は高いという。社員へのセキュリティー研修も、ヒューマンエラーを減らすうえで有効だ。ただ、近年はAI(人工知能)の進化により自然な日本語のスパムメールが増え、人間の目では見分けがつきにくくなっている。セキュリティーサービスの活用も選択肢の一つとなる。
次に重要なのが「端末自体を守ること」だ。社内のクライアントパソコンへのウイルス対策は必須で、未知のウイルス対策も重要だという。
状況把握が第一歩
金融機関や官公庁などを中心にサービスを提供するGMOサイバーセキュリティ by(バイ)イエラエ(東京都渋谷区)は、サイバー攻撃への対策として、自社がどのようなリスクを抱えているかの認識が重要だという。
同社では、まず全体のリスクを企業側が理解するために「アタックサーフェスマネジメント」と言われる、インターネットからアクセス可能な攻撃面を把握し、定期的な評価を行うサービスを提供している。特に組織の情報資産の管理者が把握していないドメインやIPアドレスは、セキュリティーが弱い状態で放置されることが多く、サイバー攻撃の入り口として狙われやすいという。
営業本部マーケティング部の伊礼容子氏は「サイバー攻撃への対策は、自社がどういう状態かの把握が必須だ」と話す。まずは自社のネットワークの仕組みや、どういう情報資産があり、どのような取り扱いをしているかを確認する。そのうえで対策を講じることができるようになるという。
ただ、サイバーセキュリティーにかけられる予算には限りがあるのが実情だ。予算がない、予算確保に時間がかかるといった場合には、被害が起きた後の対応を行う組織体制の構築をするのも一つの手だという。
社内体制の整備やセキュリティーサービスの活用も含め、自社の規模や業務に応じた柔軟な取り組みが求められている。
(2025年6月2日1面に掲載)
