自社HPに弱点､中小企業｢サイバー事案｣のリアル ｢IT技術の問題｣だけでなく｢人的要因｣も大きい

中小企業のサイバー事案は、全経営者が知っておきたい（写真：Luce/PIXTA）

数年前、「ビットコインってなんですの？」と、ある中小企業経営者のAさんが、私が所属する大阪商工会議所に相談に来た。相談員はその概要を説明したが、そもそもなぜビットコインが必要になったか聞くと、Aさんはこう答えたという。

「いきなりパソコンが動かなくなって、ビットコインで払ったら直ると出てきてん。だからどうやったら手に入るんか、知りたいんですねん」

Aさんは、身代金を要求されていることに気づいていなかった。しかし、Aさんの危機管理意識の低さが珍しいわけではない。

「中小企業は狙われない」と油断する経営者たち

中小企業の経営者とサイバー攻撃について話すと、たいてい次の3つの発言に行き着く。

「当社のような名もない中小企業は狙われない」「自分はITに疎いので部下やベンダーに任せている」「売り上げを生まないセキュリティにお金をかけられない」――いずれも、サイバー攻撃やその被害に対するリアリティの実感と当事者意識の希薄さが垣間見える。意識の低さは知識の不足に起因し、知識の不足は情報の不足に由来すると言えよう。

こうした状況から、私たちのような支援機関も、サイバーセキュリティ関連のセミナーを実施して情報発信するのだが、集客に苦労するうえ実施効果の測定も困難なため、積極的に開催しづらいのが実情である。

メディアも大企業などへのサイバー攻撃は報道するが、中小企業の事案はほとんど取り上げない。かくして中小企業におけるサイバー攻撃の「知識・意識・対策」は低調なまま推移する一方で、攻撃者の手口は「多様化・高度化・巧妙化」し、両者の非対称性は増大の一途をたどっている。

ベライゾンの「2023年度 データ漏洩／侵害調査報告書」によると、昨今のサイバー攻撃の97％は金銭目的だ。それゆえ攻撃者は、中小企業を個別に吟味して攻撃の是非を判断することはないだろう。例えば外観的には「標的型攻撃メール」であっても、その実態は「バラマキ型の絨毯爆撃メール」であり、油断すべきではない。

｢Word Press｣で構築したホームページも要注意

昨今、ウイルスメールやランサムウェアが増加しているが、ウェブサイトの改ざんや乗っ取りといった古典的攻撃も少なくない。

例えば2023年8月末、鹿児島王将は、第三者にHP（ホームぺージ）を改ざんされ、実在する弁護士事務所の名で「破産手続きを開始した」という事実無根の記載をされてしまった。

2023年12月には大阪商工会議所にも、大阪府内の小売業B社（社員約20人）から、HPが乗っ取られたとの相談が寄せられた。B社のHPにアクセスすると、詐欺サイトと推定される通販サイトが表示される。担当者は「なぜ狙われたのかわからない。警察からの連絡で初めてわかった。パスワードが甘かった点は自覚している」と腑に落ちない様子だった。