自社HPに弱点､中小企業｢サイバー事案｣のリアル ｢IT技術の問題｣だけでなく｢人的要因｣も大きい

実は、鹿児島王将とB社には共通点がある。両社ともに、HPがWord Pressという簡便な無料ソフトを用いて構築されていたのだ。

Word Pressの脆弱性は、大阪商工会議所と立命館大学の「中小企業等のホームページ脆弱性診断」でも明らかになっている。これは2023年秋に、22都道府県の中小企業111社の、Word Pressで構築された192のHPを対象に実施した共同調査だ。

詳細は2024年1月末に発表しているが、概要は以下のとおりである。

（1）Word Pressのバージョンが古いサイトは6％
（2）ユーザーリストが露出していたサイトは78％
（3）ログインページが露出していたサイトは77％
（4）（2）・（3）両方に該当する高リスク群は66％

HPの管理や編集が可能なユーザーのリストがインターネット上に露出すると、どうなるか。

そこから露出したユーザー名（個人名やadminである場合が多い）と企業のドメイン（会社名そのままである場合が多い）を組み合わせると、メールアドレスの推定が容易になってしまう。加えて、「P@ssw0rd」のようにパスワードの設定が甘いと、露出しているログインページから不正アクセスされ、改ざんや不正プログラムの埋め込みなどが行われてしまうリスクが高まる。

日本の中小企業数は約336万社（中小企業庁の2021年6月時点集計結果）だ。また、HPを有する中小企業は67.4％（IPAの2021年度調査）、国内のWord Pressのシェアは82.1％（W3Techs2023年11月調査）とされている。

これらの数字を基に試算してみると、Word PressでHPを構築している中小企業は約186万社に上る。これに、われわれの共同調査で判明した高リスク群の割合66％を当てはめてみると、約122万社（中小企業の約36％）のHPが潜在的リスクを抱えているとの推計も成り立つ。

被害を拡大させないためにも、定期的に自社HPの掲載内容を点検するほか、作成ツールのバージョンの最新化、ユーザーリストやログインページなどが露出しないような設定が必要だ。

背景にあるのは｢IT技術の問題｣だけではない

情報セキュリティ事故のうち、19％は内部犯行との調査結果（前述のベライゾン調査）もあり、インシデントは「IT技術の問題」であるとともに「労務管理の問題」など人的要因としての側面もある。

2017年に日本航空がビジネスメール詐欺に遭い計3億8000万円の被害を出した件も、経理担当者がニセの振込先に振り込んでしまったことによるもので、請求書の送信者や上司に確認・相談さえしていれば防ぎえたものだ。こうした被害は、「報・連・相の問題」である。