中小を襲った“不正アクセス” その被害と対策法 従業員規模1桁でもターゲットになるワケ（1/3 ページ）

[谷井将人，ITmedia]

　これは大阪にある従業員5人以下の小売企業で起きた事案だ。同社では商品の店舗販売と通信販売を行っている。普段はFAXより注文件数の少ない通販サイトを運営しているのだが、その日は決済ページに海外から大量にアクセスがあった──不正アクセスだ。

　対応のために通販サイトの一部機能を1週間停止することになり、金銭的な被害につながった。幸い、クレジットカードなどの不正利用や情報漏えいはなかったが、被害があったら賠償額はいくらになったか……。

IPAの江島将和さん（セキュリティセンター 企画部 中小企業支援グループ）

　「カードが不正利用された場合は最大でカードの利用限度額いっぱいを請求される可能性があります」

　経済産業省が管轄する情報セキュリティの専門機関「情報処理推進機構」（IPA）で、中小企業支援を担当する江島将和さんはそう解説する。商品の価格が数百円でも、カード情報を盗んだ人が100万円不正利用していれば、それを補填することになる。

　中小企業では、情報セキュリティ担当者が1人しかいないところや、そもそも担当者がいないところ、担当者はいるが情報セキュリティは“なんとなく”しか分からないところもある。攻撃者が狙うのは、そんな対策が甘くなりがちな企業だ。

　今回はIPAに、そんな企業が気を付けるべき不正アクセス事案と対策の心得を聞いた。近年ではWebサイトや販売サイトを簡単に作れるようになっているが、何となくで運用しているとリスクにもなる。

特集：非IT企業がいま知りたい「情報セキュリティのキホン」

2022年に入ってから、不正アクセスやマルウェア「Emotet」による被害が相次いでいる。非IT企業はセキュリティ対策が甘い場合もあることから攻撃のターゲットになりやすく、近年では中小企業を足掛かりに大企業へ攻撃を仕掛ける「サプライチェーン攻撃」も身近な問題になってきた。 本特集では、近年発生しているサイバー攻撃の中でも非IT企業に特に大きな打撃を与えたものについて、実例や手口を噛み砕いて解説。こうした被害を防ぐための対策方法を、基礎から示していく。

不正アクセスって具体的にはどんな被害が発生するの？

　不正アクセスとは、許可していない人物が不正に社内の情報機器などに侵入することをいう。侵入後には、個人情報などを盗まれる、Webサイトが勝手につくりかえられる、PCなどを動作できない状態にされて身代金を要求される──などの被害が発生する。