自社HPに弱点、中小企業「サイバー事案」のリアル 「IT技術の問題」だけでなく「人的要因」も大きい
メディアも大企業などへのサイバー攻撃は報道するが、中小企業の事案はほとんど取り上げない。かくして中小企業におけるサイバー攻撃の「知識・意識・対策」は低調なまま推移する一方で、攻撃者の手口は「多様化・高度化・巧妙化」し、両者の非対称性は増大の一途をたどっている。
ベライゾンの「2023年度 データ漏洩/侵害調査報告書」によると、昨今のサイバー攻撃の97%は金銭目的だ。それゆえ攻撃者は、中小企業を個別に吟味して攻撃の是非を判断することはないだろう。例えば外観的には「標的型攻撃メール」であっても、その実態は「バラマキ型の絨毯爆撃メール」であり、油断すべきではない。
「Word Press」で構築したホームページも要注意
昨今、ウイルスメールやランサムウェアが増加しているが、ウェブサイトの改ざんや乗っ取りといった古典的攻撃も少なくない。
例えば2023年8月末、鹿児島王将は、第三者にHP(ホームぺージ)を改ざんされ、実在する弁護士事務所の名で「破産手続きを開始した」という事実無根の記載をされてしまった。
2023年12月には大阪商工会議所にも、大阪府内の小売業B社(社員約20人)から、HPが乗っ取られたとの相談が寄せられた。B社のHPにアクセスすると、詐欺サイトと推定される通販サイトが表示される。担当者は「なぜ狙われたのかわからない。警察からの連絡で初めてわかった。パスワードが甘かった点は自覚している」と腑に落ちない様子だった。
実は、鹿児島王将とB社には共通点がある。両社ともに、HPがWord Pressという簡便な無料ソフトを用いて構築されていたのだ。
Word Pressの脆弱性は、大阪商工会議所と立命館大学の「中小企業等のホームページ脆弱性診断」でも明らかになっている。これは2023年秋に、22都道府県の中小企業111社の、Word Pressで構築された192のHPを対象に実施した共同調査だ。
ログインはこちら