【サイバー攻撃の脅威】 従業員10人なのに「標的」

2016年03月10日

【サイバー攻撃の脅威】 狙われる中小企業、従業員10人なのに「標的」

【サイバー攻撃の脅威】 狙われる中小企業、従業員10人なのに「標的」に…甘いセキュリティー突き大企業の機密情報も!?


「うちみたいな小さい会社が狙われるなんて…」

 1月18日。自社サイトへの不正アクセスで、顧客情報が外部に流出した可能性を公表した健康食品販売会社「京都薬品ヘルスケア」(京都市中京区)の担当者(47)は、ショックを隠そうともしなかった。

 同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。

 名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。

 問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。

 調査を行った会社によると、外部サーバーに何らかの方法で不正アクセスプログラムが仕掛けられたとみられる。だが感染経路だけでなく、流出したカード情報の件数や内容は特定できなかった。「有効な対策もほぼない」という。

 サイトは現在閉鎖されている。再開のめどすらたっていない。

 「120パーセント万全であると確認できなければサイトは再開できない。離れてしまったお客さまが戻ってきてくれることはもう二度とないだろう」。京都薬品ヘルスケアの担当者はうなだれた。

 なぜ、中小企業が狙われたのだろうか。

情報セキュリティーに詳しい立命館大情報理工学部の上原哲太郎教授は「中小企業の方がセキュリティー対策が甘い。だから狙われる」と打ち明ける。

 中小企業とは異なるが、酷似した構図として、昨年5月に日本年金機構が保有する年金受給者の個人情報約125万件がサイバー攻撃で流出した問題がある。発端は地方職員が悪意のあるプログラムの仕込まれた標的型攻撃メールを開封して端末が感染したことだった。セキュリティー意識の甘さを巧妙に突かれ、その後の対応の遅れが被害拡大を招いた。

 中小企業を狙ったサイバー攻撃は増加傾向にある。犯人の目的は不明だが、上原教授はこう解説する。

 「例えば、中小企業や地方の支店に標的型攻撃メールを仕掛け、そこを踏み台に大手企業や本社が持つ機密情報を狙うサイバー犯罪も水面下で起きている」  大手企業の先端技術や特許に関する内部データ、競争入札に絡む価格…。こうした機密情報を、取引先の中小企業から間接的に入手しようとしたと疑われるケースは存在する。背後に国外の組織の関与をうかがわせるものもあるようだ。

 サイバー攻撃の脅威はすぐそこまできている。




rikezyo00sumaho at 06:00|PermalinkComments(0)