#Emotet対策 #Webサイト改ざん #スパムメール #セキュリティ対策 #セキュリティ診断 #なりすましメール #脆弱性 #脆弱性対策 #脆弱性診断 #脆弱性診断ツール

2022.10.27

不正アクセスによるスパムメールの踏み台事件　発生事例のご紹介

この記事はワードプレスなどオープンソースのCMSを用いてコーポレートサイトを運営している企業の情報システム部のご担当者様、管理部のご担当者様、各役員様向けの記事です。

1．事例紹介

２０２２年９月２６日にデジタル庁は自らが運用する事業者向け共通認証サービス「GビズID」が海外からメール中継サーバーに対して不正アクセスを受けたことにより、
同サービスより約１３，０００件の迷惑メールが送信されていたことを発表しました。

これはいわゆる同サービスが「スパムメールの踏み台」にされた事例です。

2．GビスIDの詳細

GビズIDは、デジタル庁が管轄するサービスの一つで法人・個人事業主が複数の行政サービスを１つのアカウントで利用できる認証システムです。
GビズIDを企業が取得すると、一つのアカウントで多くの行政サービスにログインすることが可能となり補助金の電子申請するときにも利用できます。

なぜ「不正アクセス」が発生したかの詳細は記載されていませんが、デジタル庁は「海外からのメール中継サーバーへの不正アクセスが原因・・・」と記載していることを考えると
サイトもしくはサーバーの脆弱性を突かれ不正アクセスをされた結果、スパムメールの踏み台になったと考えられます。

今回の事件のようなスパムメールの踏み台は、サイトにある「改ざん」リスクを放置していると狙われます。

「うちのHPはあまり見られてないし。」
「うちのHPには大事な情報を載せてないから関係ない。」

という認識でHPのセキュリティをおろそかにしていませんか？
リスクを放置していると知らぬ間にサイバー攻撃の加害者になってしまい莫大な損害賠償を支払うことも少なくありません。
まずは「自社のサイトの状況を知る」ことが重要です。