中小を襲った“不正アクセス” その被害と対策法 従業員規模1桁でもターゲットになるワケ（2/3 ページ）

[谷井将人，ITmedia]

被害ケース1　個人情報などを盗まれる

　社内のPCやクラウドには、取引先の情報や従業員の個人情報などが保存されているだろう。これが盗まれると、顧客や自社従業員が詐欺被害に遭う可能性が出る。

　冒頭の子会社の例では、クレジットカード情報が漏えいしかけた。カード情報は「割賦販売法」の規定で、自社で保持しないか「PCI DSS」という国際基準にのっとって厳重に取り扱う必要がある。

　カード情報は、金融関連業でもない限り基本的には保存されてないはずだ。情報を持っていないなら漏えいの危険もないと思うかもしれないが、それは間違いだ。近年でも、カード情報を保持していないのに漏えいしたという事例はいくつもある。

　関連記事：「クレカ情報流出＝データを保存していた」とは限らない　スイパラ情報漏えいから学ぶ決済の安全性

被害ケース2　Webサイトを改ざんされる

　「最近は、プログラミングをしなくても自社で簡単にWebサイトを作れます。コロナ禍以降は通販サイトも積極的に作られています。決済システムを簡単に導入できるサービスもありますね」（江島さん）

　画面上でパーツを組み立てて文字を入力すれば、すぐに自社サイトを作れるサービスはいくつもある。自社サイトや通販サイトをそういったサービスで作っている中小企業もあるだろう。

　試しに、そのサービスにログインする際のIDとパスワードを思い出してみてほしい。社名や担当者名などから簡単に推測できるような文字列になっていないだろうか？　他のサービスを同じパスワードを使いまわしていないだろうか？　「password」「123456」などにしていないだろうか？

　関連記事：21年に漏えいした日本のパスワード、2位は「password」　1位は？　ソリトンシステムズ調査

　「パスワードが破られてサービスに不正ログインされ、Webサイトを改ざんされる可能性があります。場合によっては、自社サイトが“セキュリティ上の警告あり”と表示され、閲覧を避けられたり、ブランドの毀損につながったりします」（江島さん）

　決済システムが改ざんされ、クレカ情報を盗まれる可能性もある。江島さんによると、外部ツールやサービスを使う場合は「責任分界点」を意識する必要があるという。

　責任分界点とは、サービスの利用に際して、責任の所在がどこまでなのかを示す点。サービス利用中に発生したからといって、責任が全てサービス提供者側にあるのではない。例えば、パスワードの管理不足は利用者側の責任となる可能性が高い。