狙われる中小企業のWebサイト、小規模でも被害に遭う現実的な理由

企業規模を問わず情報セキュリティ強化の声が高まる昨今、イマイチその重要性を実感できていない、あるいは重要性は理解していても予算をかけて対策するほどの危機感を抱けていない、という中小企業経営者は多いのではないでしょうか。

中には未だに「サイバー攻撃は大企業が被害に遭うもの」と誤った認識のままWebサイトやWebサービスを運用している企業もありますが、中小企業の被害実態は実のところ大企業以上に深刻です。

そこで本記事では、サイバー攻撃の起点となりやすい「Webサイト」に焦点をあてて、中小企業のWebサイトが狙われる理由について解説していきます。

攻撃者が中小企業のWebサイトを狙う現実的な理由

セキュリティ対策が甘く、効率的に目的を達成できる

サイバー攻撃を行う犯罪者は、攻撃に要する「時間的・経済的コスト」と、攻撃を行うことで得られる「利得(個人情報、金銭など)」を天秤にかけて実行如何を判断します。つまり、容易に攻撃を仕掛けられて、かつ多くの利得を獲得しうる標的を常に探しているのです。

そんな中、多くの予算を割いてセキュリティ投資を行っている大企業に比べて、組織としてのセキュリティ意識が低く予算も少ない中小企業は基本的なセキュリティ対策すら怠っているケースが多いです。IPAが行った調査では、「直近過去3期の情報セキュリティ投資額」について、実に33.1%もの企業が「投資していない」と回答しており、49.2%の企業が「100万円未満の投資」に留まっています。

2021年度 中小企業における情報セキュリティ対策に関する実態調査情報処理推進機構

これまで以上に個人情報を扱うようになり、小規模な会社でもWeb上で影響力を持てるようになってきている昨今、中小企業のWebサイトは攻撃者から見て「格好の的」ともいえる存在になりつつあります。

大企業への攻撃の踏み台として利用できる

昨今、深刻な問題として企業規模を問わず対策を求められているのが「サプライチェーンセキュリティ」です。サプライチェーンとは「事業継続のために必要な企業間の製品供給網」を意味しますが、例えば、大企業のサプライチェーンを構成する下請けの中小企業が受けたサイバー攻撃が、発注元の大企業へ影響するといった事案が多く存在します。

直近では、トヨタ自動車サプライチェーンを構成する自動車部品メーカーがサイバー攻撃を受け、結果的にトヨタの国内全14工場を稼働停止するに至った事件が話題となりました。

トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは

このように、一定以上の規模のサプライチェーンを構成する中小企業は、大企業やあるいは標的企業への踏み台として狙われる可能性があります。また、自らが「標的企業」となった場合を考えると、自社だけでなく「提携企業のセキュリティ」についても把握・対処する必要があるでしょう。

中小企業のWebサイトがサイバー攻撃に遭う3つのケース

サイバー攻撃を行う犯罪者の目的は実に多様です。個人情報や営業機密などの情報奪取や、ランサムウェアなどに代表される金銭獲得などが代表的ですが、それ以外にもハッキング技術を試したいという興味本位のものや、政治的主張が目的の場合も多々あります。

そこで本章では、中小企業のWebサイトがサイバー攻撃被害に遭う代表的な3つのケースを、攻撃者の目的や思惑などと一緒にご紹介します。

ネットショップなどのWebサービスの個人情報奪取が目的のケース

近頃、最も多く見られる被害事例の1つが、ECサイト(ネットショップ)などのWebサービスから、クレジットカードや氏名/住所などの個人情報が奪われるケースです。簡単にネットショップを開設できるアプリやパッケージなどが流通している昨今、開発技術のない中小企業でも手軽にWebサービスを提供できるようになりましたが、セキュリティ対策を怠っていたことが原因による個人情報漏洩事件が急増しています。

多くの経営者は、ECサイトの開発パッケージやWebサービスの運営委託会社、あるいはレンタルサーバの提供会社などがセキュリティ対策を行ってくれていると思っていますが、それは間違いです。開発パッケージには最低限の対策が施されているだけで高度なサイバー攻撃には対応できませんし、レンタルサーバはそもそもWeb用のセキュリティ機能を提供していません。また運営委託会社との契約内容に「セキュリティ対策/対応」が盛り込まれているのかは今一度確認する必要があるでしょう。

ホームページ改ざんによる金銭獲得が目的のケース

ホームページを改ざんすることで、攻撃者が金銭を獲得する方法は大きく2つあります。1つが「広告を埋め込んで広告収入を得る」というもの。もう1つが「ウィルスを仕込んで閲覧者に感染させる」という方法です。

1つ目の「広告を埋め込む」というサイバー攻撃に関して、例えば、自社のホームページに海外のアダルトサイトや怪しい仮想通貨の宣伝広告が掲載された場合を想像してみてください。攻撃の発見が遅れれば遅れるほど顧客や関係者に不快なイメージを抱かせてしまいますし、セキュリティ対策を怠っていたという事実が露呈することにもなりますから、企業のイメージや信用を大きく損なうことは明らかです。

2つ目の「ウィルスを仕込む」というサイバー攻撃に関して、一番に考えられるのは「ランサムウェアの配布」です。ランサムウェアはPCやスマホなどのコンピュータに感染した後で重要なデータやシステムそのものをロック(使用不能)し、ロックの解除と引き換えに金銭を要求するコンピュータウィルスです。ウィルス感染の被害が顧客に広がり、感染源が自社のホームページだと言うことが分かれば、企業として甚大な経済的損失を被ることは想像に難くありません。

興味本位のイタズラ・迷惑行為が目的のケース

イタズラでサイバー攻撃を行う人がいるの?と思うかもしれませんが、攻撃できるだけの技術力を身に付けたらそれを試してみたくなるのがハッカーの心理です。また、自分の技術力を証明する目的でサイバー攻撃を行う人も一定数存在します。

実際の被害内容としてはWebサイトの一部の表示が書き換えられたり、悪意あるメッセージが表示される程度のものですが、企業のイメージや信用低下は避けられません。

このような攻撃の被害事例としては、2017年に発生した埼玉県秩父市観光情報ホームページの改ざん事件が有名です。同ホームページは外部から改ざんを受け、過激派組織イスラム国(IS)を中傷するメッセージが表示される状態が一定時間続きました。

改ざんされたHP閉鎖埼玉新聞

低コストで効果的にWebサイトを守るためにやるべきこと

ここまで、中小企業がサイバー攻撃の脅威に晒されている現状について説明してきましたが、結局のところ肝心なのは「Webサイトの効果的な守り方」です。

中小企業の場合は予算・人材の確保が難しいため、その制限の中で工夫する必要があります。様々な要素で構成されるために多様な脆弱性を持つ「Web」の仕組みを把握し、万全のセキュリティ対策を施すことは現実的ではありません。

そこで重要となるのが「優先順位」です。いきなり全てを守り切ることはできませんから、最も攻撃されやすく、警戒しなければならない領域をできるだけ広くカバーできるセキュリティ対策を実施する必要があります。

セキュリティ専門企業の弊社としては、その問いの答えの1つとして「WAFの導入」を推奨しています。

Webセキュリティ対策の基本、「WAF」とはなにか?

WAF(ワフ:Web Application Firewall)とは、Webサイトを多様なサイバー攻撃から守るための最も有効なセキュリティ対策の1つです。

Web上には様々な脆弱性が存在しており、どれだけセキュアな開発を行っても、完成したWebサイトには少なからず脆弱性が潜んでいます。それらWeb上のあらゆる脆弱性に対応してサイバー攻撃を防ぐ役割を担うのが「WAF」です。日本でも「改正割賦販売法」にて、クレジットカード情報を扱う企業にはWAFの導入が義務付けられるなど、Webセキュリティ対策の基本として知られています。

経営者の中には、ホームページの運用委託会社やレンタルサーバ会社が、WAFなどのセキュリティ対策を実施してくれていると理解している方多いですが、それは間違いです。WAFなどの高度なセキュリティ対策は、基本的に自社にて導入・対応する必要があります。

中小企業の不安を解決する、WAFを超えたWAFとは?

WAFの導入に際して、特に不安なポイントは「実際どれくらい効果があるのか?」「専門家がいなくても運用できるのか?」「どのサービスを選べばいいのか?」の3点だと思います。セキュリティ専門企業の弊社としては、そんな不安を抱える中小企業経営者の方々に、次の「3つの観点」を意識してWAF製品を選んでいただきたいと考えています。

  • Webサイトを守る機能が「総合的」に提供されているか
  • 専門家いらずでも安心の「マネージドサービス」があるか
  • グローバルで「証明された専門性」を持っているか

そして今回は上記3点を満たした製品の例として、弊社で提供している「Cloudbric WAF+」を紹介させていただきます。

Cloudbric WAF+はコスパの良いSaaS型サービスで提供され、導入の手続きが極めて簡単というメリットがあります。論理演算検知エンジンや特性学習AIエンジンを搭載した最上位レベルのWAF機能に加えて、DDoS攻撃対策、脅威IP遮断機能、悪性ボット遮断機能なども同時に提供する「WAFを超えたWAFサービス」となっています。

当サービスは、導入時だけでなく、導入後の運用時も安心のマネージドサービスを提供していることも特徴の1つです。セキュリティ運用ポリシーの提案、セキュリティ監視、脆弱性リサーチ/分析/対応などの専門業務を、日本国内外の専門家チームにお任せできます。

また、Cloudbric WAF+に搭載しているのは弊社が開発した論理演算検知技術で、日本・米国・韓国などで特許を取得している他、世界最高の試験評価機関「Tolly Group」にてセキュリティ性能検証を行っているなど、グローバルなセキュリティ性能が証明されています。

Webサイトのセキュリティ対策にお悩みの方は、是非一度「Cloudbric WAF+」の導入を検討してみてください。

www.cloudbric.jp