自社HPに弱点､中小企業｢サイバー事案｣のリアル ｢IT技術の問題｣だけでなく｢人的要因｣も大きい

詳細は2024年1月末に発表しているが、概要は以下のとおりである。

HPの管理や編集が可能なユーザーのリストがインターネット上に露出すると、どうなるか。

そこから露出したユーザー名（個人名やadminである場合が多い）と企業のドメイン（会社名そのままである場合が多い）を組み合わせると、メールアドレスの推定が容易になってしまう。加えて、「P@ssw0rd」のようにパスワードの設定が甘いと、露出しているログインページから不正アクセスされ、改ざんや不正プログラムの埋め込みなどが行われてしまうリスクが高まる。

日本の中小企業数は約336万社（中小企業庁の2021年6月時点集計結果）だ。また、HPを有する中小企業は67.4％（IPAの2021年度調査）、国内のWord Pressのシェアは82.1％（W3Techs2023年11月調査）とされている。

これらの数字を基に試算してみると、Word PressでHPを構築している中小企業は約186万社に上る。これに、われわれの共同調査で判明した高リスク群の割合66％を当てはめてみると、約122万社（中小企業の約36％）のHPが潜在的リスクを抱えているとの推計も成り立つ。

被害を拡大させないためにも、定期的に自社HPの掲載内容を点検するほか、作成ツールのバージョンの最新化、ユーザーリストやログインページなどが露出しないような設定が必要だ。

背景にあるのは｢IT技術の問題｣だけではない

情報セキュリティ事故のうち、19％は内部犯行との調査結果（前述のベライゾン調査）もあり、インシデントは「IT技術の問題」であるとともに「労務管理の問題」など人的要因としての側面もある。

2017年に日本航空がビジネスメール詐欺に遭い計3億8000万円の被害を出した件も、経理担当者がニセの振込先に振り込んでしまったことによるもので、請求書の送信者や上司に確認・相談さえしていれば防ぎえたものだ。こうした被害は、「報・連・相の問題」である。

大阪商工会議所でもこんなことがあった。大阪府の建材メーカーC社（社員約40人）で、UTM（多機能防御装置）が悪性通信を観測し、社長が支援を求めてきたときのこと。現場に駆けつけ、被疑端末をIPアドレス（インターネット上の住所）とMACアドレス（各端末の固有番号）を基に探したが、その日は結局見つからなかった。