会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を

「学校や自治体ではWordPressでウェブサイトを作っていることが多く、その脆弱性が出てから1～2日で、1000以上のサイトが書き換えられてしまいました。このような改ざんは、単に見た目が損なわれるという問題にとどまりません」と渡辺氏は警鐘を鳴らします。

渡辺洋司（わたなべ・ようじ）／サイバーセキュリティクラウド 代表取締役CTO（写真：本人提供）

より悪質なのは、改ざんされたサイトが、閲覧した一般ユーザーのPCにウイルスを感染させたり、本物そっくりのフィッシング詐欺サイトへ誘導して個人情報を盗み出したりするための攻撃の踏み台として悪用されるケースがあるのです。

そうなると、その会社や組織はサイバー攻撃の被害者であると同時に、社会に害をなす「加害者」という不名誉な立場に立たされてしまいます。ビジネス上の信用は根底から覆され、その回復には計り知れないコストと時間が必要となるでしょう。

さらに深刻なのが、ウェブサイトの脆弱性を起点としたサーバー内部への侵入と情報漏洩です。一度内部への侵入を許してしまえば、そこからはまさにやりたい放題。攻撃者はウェブサイトを経由してサーバー内に攻撃用のファイルを設置し、そこから外部と通信することで、サーバー内のファイル構造を丸裸にします。

どのフォルダーにどんなデータがあり、ほかのどのシステムとつながっているのかを把握した後、目的の顧客情報や機密情報をごっそりと抜き取っていくのです。これは、企業側がいろいろと対策していても、ウェブサイトのどこかにたった1つの脆弱性があるだけで、すべての情報資産が危険にさらされる可能性があることを意味しています。

事業を破壊するランサムウェア攻撃

現代のサイバー攻撃において、最も深刻な被害をもたらすのがランサムウェア攻撃です。多くの人がコンピューターウイルスが勝手にファイルを暗号化してしまうというイメージを持っているかもしれませんが、その実態ははるかに巧妙で悪質です。