サイバー攻撃が「サブスクリプション」として販売される時代が到来している。ダークウェブと呼ばれる地下市場では、盗まれた情報や攻撃ツールが日常的に売買されている。クレジットカード情報1枚は数百円から数千円、企業のVPNアクセス認証情報は数万円から数十万円、未知の脆弱性(ゼロデイ)は数百万円から数千万円で取引される。
企業に侵入するための「鍵」がネット上で売られており、攻撃者は自ら鍵を作る必要すらない。攻撃の「産業化」はすでに完了していると、サイバー防衛専門家の奥野史一氏は指摘する。
身代金を払うべきか否か、リーダーの究極の判断
リーダーが突き当たる究極の問いは、身代金を払うべきか否かだ。米Colonial Pipelineは約4.8億円を支払った。同社CEOは議会で「国民への燃料供給を最優先した」と証言している。
国際的な原則は「払うべきではない」というものだ。支払いは犯罪組織の資金源となり、次の攻撃を招く。しかし現実のリーダーは、構成員の雇用、関係先への義務、預かったデータの保護、組織の存続など、すべてを天秤にかけて判断しなければならない。
この判断はIT部門にはできない。リーダー自身の判断であり、事前にシミュレーションしておくべき「有事のシナリオ」だ。バックアップ設計やサイバー保険は、この判断に直面する確率そのものを下げるための投資である。
中小企業こそが狙われやすい理由
サイバーセキュリティに関する講演では、必ず「うちは中小企業だが本当に狙われるのか」という質問が上がる。答えは明確だ。狙われている。むしろ中小企業のほうが狙われやすい。
大企業は城壁が厚く、正面から攻めるのは効率が悪い。攻撃者は城壁の薄い裏門、すなわちサプライチェーン上の中小企業から侵入する。2025年、警察庁が公表したランサムウェア被害報告の約6割は中小企業からのものだった。
トヨタの主要サプライヤーである小島プレス工業が攻撃され、トヨタ国内の14工場が一斉に停止した事例が典型だ。あなたの会社が標的ではなく、あなたの会社を「通路」として大企業や国を狙っている。
AI攻撃はすでに現実のもの
「AIを使った攻撃はまだ先の話」という認識も誤りだ。2025年11月、AIモデルがジェイルブレイク(安全装置の解除)され、約30の組織に対するサイバースパイ活動に使われていたことが公表された。作戦の80〜90%をAIが自律的に遂行し、人間の介入はわずか数回だった。これは「未来の脅威」ではなく、2025年の事件である。
では、何から手をつければいいのか。まずは自社のサプライチェーン上の位置を把握し、攻撃経路となり得る脆弱性を特定することだ。次に、従業員へのセキュリティ教育、多要素認証の導入、定期的なバックアップと復旧訓練が不可欠である。



