
この記事はワードプレスなどオープンソースのCMSを用いてコーポレートサイトを運営している企業の情報システム部のご担当者様、管理部のご担当者様、各役員様向けの記事です。
1.事例紹介
2022年9月26日にデジタル庁は自らが運用する事業者向け共通認証サービス「GビズID」が海外からメール中継サーバーに対して不正アクセスを受けたことにより、
同サービスより約13,000件の迷惑メールが送信されていたことを発表しました。
G ビズ ID が管理するメール中継サーバーに対する不正アクセスによる迷惑メール送信について デジタル庁
これはいわゆる同サービスが「スパムメールの踏み台」にされた事例です。
2.GビスIDの詳細
GビズIDは、デジタル庁が管轄するサービスの一つで法人・個人事業主が複数の行政サービスを1つのアカウントで利用できる認証システムです。
GビズIDを企業が取得すると、一つのアカウントで多くの行政サービスにログインすることが可能となり補助金の電子申請するときにも利用できます。
GビズIDって何?何が出来る?基本知識や取得方法、利用できる行政サービス・社会保険の電子申請を解説 労務SEARCH
3.事件の原因
なぜ「不正アクセス」が発生したかの詳細は記載されていませんが、デジタル庁は「海外からのメール中継サーバーへの不正アクセスが原因・・・」と記載していることを考えると
サイトもしくはサーバーの脆弱性を突かれ不正アクセスをされた結果、スパムメールの踏み台になったと考えられます。
4.まとめ
今回の事件のようなスパムメールの踏み台は、サイトにある「改ざん」リスクを放置していると狙われます。
「うちのHPはあまり見られてないし。」
「うちのHPには大事な情報を載せてないから関係ない。」
という認識でHPのセキュリティをおろそかにしていませんか?
リスクを放置していると知らぬ間にサイバー攻撃の加害者になってしまい莫大な損害賠償を支払うことも少なくありません。
まずは「自社のサイトの状況を知る」ことが重要です。