福岡の中小企業が受けたホームページへのサイバー攻撃事例と被害の実態

ジャリア | 投稿: [更新日:]
ホームページ制作 セキュリティ
福岡のホームページ制作会社のWebaxisのコラムTOPバナー072

「うちは小さい会社だから、ホームページへのサイバー攻撃のターゲットにはならないだろう」。そう考えている福岡の中小企業経営者の方は少なくありません。しかし、現実は真逆です。2025年6月に帝国データバンクが発表した調査によれば、企業の32.0%がサイバー攻撃の被害経験を持ち、中小企業でも30.3%が被害に遭っています。さらに警察庁の統計では、2024年の中小企業におけるランサムウェアの被害事例が前年比37%増加しており、もはや「自分には関係ない」とは言えない状況です。本記事では、福岡でも無関係ではいられないホームページへのサイバー攻撃の実態と、実際に起きているセキュリティの被害事例を詳しく解説します。

目次

なぜ中小企業のホームページがサイバー攻撃の標的になるのか

大企業に比べて、中小企業はセキュリティ対策が手薄になりがちです。サイバー攻撃の攻撃者はその弱点を狙っています。ホームページは企業の顔であると同時に、外部からアクセス可能な入口でもあるため、ホームページへのサイバー攻撃の格好の標的となります。

セキュリティ対策の不足が狙われる理由

2024年度にIPAが実施した中小企業等実態調査によれば、約7割の中小企業において組織的なセキュリティ体制が整備されていません。また、中小企業の83%でセキュリティの専門知識を持つ人材が不在という深刻なセキュリティの被害事例が報告されています。

専任のセキュリティ担当者がおらず、IT担当者が兼務していたり、場合によっては総務部門の担当者がホームページの管理を任されていたりする被害事例も珍しくありません。このような状況では、最新のサイバー攻撃の脅威に対応したセキュリティ対策を継続的に実施することが困難です。

サイバー攻撃の攻撃者はこうしたセキュリティの脆弱性を自動ツールで探し出し、侵入しやすいホームページを集中的に狙います。つまり、企業規模や業種に関係なく、セキュリティが甘いホームページはサイバー攻撃のターゲットになるのです。

サプライチェーン攻撃の踏み台にされるリスク

もう一つ見過ごせないのが、サプライチェーンを狙ったサイバー攻撃です。中小企業がホームページへのサイバー攻撃の被害に遭った場合、約7割が取引先にも影響が及ぶ「サイバードミノ」という深刻なセキュリティの被害事例が発生しています。

大企業と取引がある中小企業のホームページが不正アクセスされ、そこから取引先企業のネットワークに侵入するというサイバー攻撃の手口が実際のセキュリティ被害事例として報告されています。中小企業自身が直接的なサイバー攻撃の目標ではなく、大企業への侵入経路として利用されてしまうケースです。

このようなホームページへのサイバー攻撃を受けると、自社のセキュリティ被害だけでなく、取引先からの信頼を失い、最悪の場合は取引停止につながる被害事例もあります。

ホームページへのサイバー攻撃の実態

実際に、どのようなサイバー攻撃がホームページを狙っているのでしょうか。統計データと具体的なセキュリティの被害事例を見ていきます。

2024年のサイバー攻撃統計データ

2024年上半期のランサムウェアの被害事例報告件数は114件で、セキュリティ被害を受けた組織の64%が中小企業でした。さらに、警察庁がセンサーで検知した脆弱性探索行為などの不正なアクセス件数は、1日・1IPアドレス当たり9520.2件と過去最高を記録しています。

パロアルトネットワークスの調査では、中小企業の44%が2023年にホームページへのサイバー攻撃や内部犯行によるセキュリティの被害事例を経験しており、特に九州・沖縄地方では56%とセキュリティ被害経験が50%を超えています。福岡を含む九州エリアでも、決して他人事ではない深刻な状況です。

主な被害内容とその深刻度

ホームページへのサイバー攻撃による被害事例の内容として、上位3位はマルウェア感染(26%)、システム・サービス障害(20%)、個人情報漏えい(15%)です。

IPAの調査では、サイバー攻撃によるセキュリティのインシデントの影響として、データの破壊と回答した企業が35.7%、個人情報の漏えいと回答した企業が35.1%に上りました。

ホームページが改ざんされて偽の情報が掲載されるセキュリティの被害事例、お問い合わせフォームから入力された個人情報が盗まれる被害事例、ホームページ経由でサーバーに侵入されてデータが暗号化される被害事例など、サイバー攻撃による被害の形態は多岐にわたります。

サイバー攻撃による具体的な被害額

過去3期に発生したホームページへのサイバー攻撃などのセキュリティインシデントで生じた被害事例における被害額の平均は73万円であり、100万円以上の被害額であった企業は9.4%(最大で1億円)、復旧までに要した期間の平均は5.8日、50日以上を要したセキュリティの被害事例が2.1%(最大で360日)という結果が出ています。

セキュリティの被害額には、直接的な復旧費用だけでなく、業務停止期間中の機会損失、取引先への対応費用、信用回復のための広報費用なども含まれます。中小企業にとって、数十万円から数百万円の突然の出費は経営に大きな打撃を与えるセキュリティの被害事例と言えます。

実際に発生しているホームページへのサイバー攻撃の手口

ホームページを狙ったサイバー攻撃には、いくつかの典型的なセキュリティの被害事例があります。それぞれの特徴と危険性を理解しておきましょう。

脆弱性を突いた不正アクセス

不正アクセスによるセキュリティの被害事例を受けた企業のうち、サイバー攻撃の手口として最も多かったのが「脆弱性(セキュリティパッチの未適用等)を突かれた」で48.0%でした。

ホームページの構築に使われているCMS(コンテンツ管理システム)やプラグイン、サーバーソフトウェアには、時折セキュリティ上の欠陥(脆弱性)が発見されます。開発元は速やかに修正プログラムをリリースしますが、それを適用しないままホームページを放置していると、サイバー攻撃の攻撃者はそのセキュリティの脆弱性を悪用して侵入してきます。

特にWordPressのような広く使われているCMSは、サイバー攻撃の攻撃者にとっても研究対象となりやすく、脆弱性が発見されると瞬く間に自動攻撃ツールが開発され、世界中のホームページが標的にされるセキュリティの被害事例が報告されています。

ID・パスワードの窃取

ホームページへのサイバー攻撃の手口として2番目に多かったセキュリティの被害事例が「ID・パスワードをだまし取られた」で36.8%でした。

フィッシングメールや偽のログインページを使って、ホームページの管理画面にアクセスするためのIDとパスワードを盗み出すサイバー攻撃の手口です。一度ログイン情報を奪われると、正規の管理者として振る舞われてしまうため、セキュリティ上の不正アクセスの検知が難しくなります。

また、複数のサービスで同じパスワードを使い回している場合、どこか一つのサービスからセキュリティ情報が漏れると、芋づる式に他のホームページも危険にさらされる被害事例があります。

ランサムウェア攻撃

ランサムウェアは、ホームページのデータやサーバー内のファイルを暗号化し、復号と引き換えに身代金を要求する悪質なサイバー攻撃です。2024年のランサムウェアによるセキュリティの被害事例件数は222件と高水準で推移しており、特に中小企業のホームページへのサイバー攻撃による被害事例件数は37%増加しています。

ホームページのセキュリティの脆弱性や不正に入手したログイン情報を使ってサーバーに侵入し、データを暗号化するという流れが一般的なサイバー攻撃の被害事例です。バックアップから復元できなかったセキュリティの被害事例の理由の第1位は「バックアップも暗号化」されていたためという調査結果もあり、バックアップがあっても安心できない状況です。

DDoS攻撃とWebサイト改ざん

大量のアクセスを短時間に集中させてホームページをダウンさせるDDoS攻撃や、ホームページの内容を書き換えるWebサイト改ざんというセキュリティの被害事例も後を絶ちません。

Webサイト改ざんでは、偽の情報を掲載されたり、訪問者を悪質なサイトに誘導するコードを埋め込まれたりするサイバー攻撃の被害事例があります。企業の信用を大きく損なうだけでなく、顧客にセキュリティ被害を及ぼす可能性もあります。

よくあるホームページへのサイバー攻撃の被害事例

実際にどのようなセキュリティの被害事例が発生しているのか、典型的なサイバー攻撃のパターンをいくつか紹介します(個別企業を特定できる情報は除外しています)。

被害事例1:WordPressの古いバージョンを狙われた製造業

ある製造業の企業では、5年前に制作したホームページをほとんど更新せずに放置していました。使用していたWordPressは古いバージョンのままで、既知のセキュリティの脆弱性が複数存在していました。

ある日突然、ホームページがサイバー攻撃を受けて改ざんされ、トップページに見知らぬ外国語の広告が表示されるようになりました。制作会社に連絡して調査したところ、WordPressの管理者アカウントが乗っ取られており、不正なプラグインがインストールされていたことが判明したセキュリティの被害事例です。

復旧作業と原因調査に約1週間、数十万円の費用がかかりました。その間、ホームページを一時閉鎖せざるを得ず、新規顧客からの問い合わせ機会を失いました。

被害事例2:お問い合わせフォームから個人情報が流出した小売業

ある小売業の企業では、お客様からの問い合わせを受け付けるフォームをホームページに設置していました。しかし、フォームのセキュリティ設定が不十分だったため、サイバー攻撃の攻撃者にセキュリティの脆弱性を突かれ、過去1年分の問い合わせデータ(氏名、メールアドレス、電話番号、問い合わせ内容)が外部に流出するセキュリティの被害事例となりました。

事態が発覚したのは、流出した個人情報を使った不審なメールが複数の顧客に届いたことがきっかけでした。企業は謝罪文の送付、コールセンターの設置、専門家による原因調査などの対応に追われ、数百万円規模の費用がかかりました。

さらに、このホームページへのサイバー攻撃による被害事例がきっかけで企業の評判が低下し、一時的に売上が減少する影響も出ました。

被害事例3:ランサムウェアで全データが暗号化された飲食業

ある飲食店チェーンでは、予約システムと連携したホームページを運営していました。ある日、従業員がフィッシングメールに記載されたリンクをクリックしてしまい、そこからマルウェアに感染。そのマルウェアが社内ネットワークを通じてサーバーにまで侵入し、ランサムウェアによるサイバー攻撃のセキュリティ被害事例となりました。

ホームページだけでなく、顧客情報、予約データ、売上管理データなど、サーバー内のすべてのファイルが暗号化されてしまいました。バックアップは取っていたものの、同じサーバー内に保存していたため、バックアップファイルも暗号化されてしまい復旧できませんでした。

サイバー攻撃の攻撃者は身代金を要求してきましたが、支払いに応じても復号できる保証はないため、身代金は支払わず、データはすべて失われました。システムの再構築と失われたデータの復元作業に数か月、大きな費用負担が発生したセキュリティの被害事例です。その間、予約システムが使えず、営業にも大きな支障が出ました。

被害事例4:取引先経由で侵入された建設業

ある建設業の企業では、自社のセキュリティ対策はある程度整えていましたが、協力会社のセキュリティが甘かったため、そこを経由してホームページへのサイバー攻撃を受けたセキュリティの被害事例です。

協力会社のホームページが不正アクセスされ、そこから共有していた業務システムにサイバー攻撃が侵入されました。その結果、建設プロジェクトの設計図面や見積書、顧客情報などの機密データが外部に流出するセキュリティの被害事例となりました。

自社だけでなく取引先全体のセキュリティレベルを確認し、ホームページへのサイバー攻撃の対策を講じる必要性を痛感する結果となりました。

ホームページへのサイバー攻撃を受けたときの企業への影響

ホームページへのサイバー攻撃は、単なるシステム障害にとどまりません。企業経営全体に深刻なセキュリティの被害事例として影響を及ぼします。

直接的な金銭的被害

復旧作業費、原因調査費、データ復元費用、場合によっては身代金の要求など、直接的な金銭的被害が発生します。過去3期内で10回以上のホームページへのサイバー攻撃などセキュリティインシデントの被害事例に遭った企業が1.7%(最大で40回)というデータもあり、一度被害に遭うと繰り返し狙われるリスクもあります。

業務停止による機会損失

ホームページがサイバー攻撃でダウンしている期間は、新規顧客からの問い合わせが受けられません。ECサイトであれば売上が完全にストップするセキュリティの被害事例もあります。予約システムが使えなければ、顧客に不便をかけるだけでなく、予約機会も失います。

復旧までに要した期間の平均は5.8日ですが、最大で360日を要したセキュリティの被害事例もあります。長期間のダウンタイムは、事業継続そのものを危うくします。

信用・ブランドの毀損

サプライチェーンリスクに対する懸念として、「得意先への悪影響」「社会的な信用下落」が共に48%、「得意先・取引先からの信用下落」が45%と、多くの企業がホームページへのサイバー攻撃による信用低下を恐れています。

個人情報が流出すれば、顧客からの信頼を失うセキュリティの被害事例となります。取引先に迷惑をかければ、ビジネス関係に亀裂が入る可能性もあります。一度失った信用を回復するには、長い時間と多大なコストがかかります。

法的責任と賠償問題

個人情報保護法に違反すれば、行政指導や罰則の対象となります。また、流出した個人情報の持ち主や被害を受けた取引先から損害賠償を請求される可能性もあるホームページへのサイバー攻撃によるセキュリティの被害事例もあります。

なぜ中小企業はセキュリティ対策が遅れがちなのか

多くの中小企業がホームページへのサイバー攻撃などセキュリティの重要性を認識しながらも、十分な対策を講じられていない背景には、いくつかの要因があります。

専門知識を持つ人材の不足

中小企業の最大の課題として47%が「人材不足」を挙げ、「限られた予算」(42%)を上回っています。セキュリティ業務担当者は、IT担当が兼務(40%)、非IT人材が兼務(34%)で、専任は15%にとどまり、担当者不在も9%という状況です。

セキュリティの専門知識がないまま、片手間で対応せざるを得ないため、最新のホームページへのサイバー攻撃の脅威への対応や適切なセキュリティ対策の実施が難しくなっています。

費用対効果が見えにくい

情報セキュリティ対策投資を行わなかった理由として、「必要性を感じていない」が44.3%と最も多く、「費用対効果が見えない」が24.2%、「コストがかかりすぎる」が21.7%でした。

セキュリティ対策は、ホームページへのサイバー攻撃などの被害が出なければその効果が見えにくいという特性があります。「今まで何も起きていないから大丈夫だろう」という正常性バイアスも働き、投資の優先順位が下がりがちです。

外部委託の問題

36%が外部委託(セキュリティ製品・サービスの運用・保守)をしておらず、63%が外部委託しているものの、うち29%は業者任せで委託内容自体を把握していません。

外部に任せているから安心と考えていても、実際には必要最低限のセキュリティ対策しか講じられていなかったり、ホームページへのサイバー攻撃への対応が委託内容に含まれていなかったりするセキュリティの被害事例があります。

福岡の企業が今すぐ取るべき基本対策

ホームページへのサイバー攻撃の脅威は現実のものです。しかし、基本的なセキュリティ対策を確実に実施するだけでも、セキュリティの被害事例を回避し、リスクを大幅に減らすことができます。

まずは現状を把握する

自社のホームページがどのようなシステムで構築されているか、どのようなセキュリティ対策が講じられているかを正確に把握しましょう。制作を外部に委託している場合は、制作会社に確認してください。

使用しているCMSのバージョン、プラグインの種類と更新状況、SSL化の有無、バックアップの取得頻度と保存場所などを確認します。

定期的なアップデートの実施

脆弱性を突かれたホームページへのサイバー攻撃が48.0%と最も多いセキュリティの被害事例からも、定期的なアップデートの重要性は明らかです。

WordPressなどのCMS本体、プラグイン、テーマ、サーバーのソフトウェアは、常に最新の状態に保つようにしましょう。更新通知が来たら、速やかに対応することがホームページへのサイバー攻撃を防ぐ重要なセキュリティ対策です。

強固なパスワード管理

ID・パスワードをだまし取られたホームページへのサイバー攻撃が36.8%というセキュリティの被害事例からも、パスワード管理の重要性が分かります。

ホームページ管理画面のログインパスワードは、英数字と記号を組み合わせた12文字以上の複雑なものにし、定期的に変更します。また、二段階認証を有効にすることで、さらにセキュリティを強化できます。

バックアップの徹底

バックアップから復元できなかったセキュリティの被害事例の理由の第1位は「バックアップも暗号化」されていたためです。

ホームページのデータとデータベースの両方を、定期的にバックアップし、別の場所(外部ストレージやクラウド)に保存しましょう。バックアップがあれば、万が一ホームページへのサイバー攻撃による被害に遭っても迅速に復旧できます。

専門家への相談

自社だけでホームページへのサイバー攻撃への対応が難しい場合は、セキュリティの専門家や信頼できる制作会社に相談することをお勧めします。セキュリティ診断を受けることで、見落としていたホームページの脆弱性を発見できることもあります。

まとめ

ホームページへのサイバー攻撃は、もはや大企業だけの問題ではありません。中小企業でも30.3%がセキュリティの被害事例に遭い、2024年は前年比37%増加している現実があります。

福岡の中小企業にとっても、ホームページへのサイバー攻撃などセキュリティ対策は待ったなしの経営課題です。「うちは狙われない」という思い込みを捨て、基本的なセキュリティ対策から着実に実施していくことが、ホームページへのサイバー攻撃によるセキュリティの被害事例を防ぐために重要です。

▶ 関連記事:

ゼットン

株式会社ジャリア福岡本社 第二営業部

株式会社ジャリア福岡本社 WEBマーケティング部は、ジャリア社内のSEO、インバウンドマーケティング、MAなどやクライアントのWEB広告運用、SNS広告運用などやWEB制作を担当するチーム。WEBデザイナー、コーダー、ライターの人員で構成されています。広告のことやマーケティング、ブランディング、クリエイティブの分野で社内を横断して活動しているチームです。

福岡のホームページ制作会社のWebaxisのコラムTOPバナー071

ホームページのパフォーマンス管理|表示速度改善で成果を上げる福岡企業の手法
福岡のホームページ制作会社のWebaxisのコラムTOPバナー073

SSL化(https化)は必須|福岡の企業ホームページで今すぐ対応すべき理由
※本記事は、株式会社ジャリアのWebマーケティング部による編集方針に基づいて執筆しています。運営ポリシーの詳細はこちらをご覧ください。

関連記事

福岡のホームページ制作会社のWebaxisのコラムTOPバナー027
カテゴリ:ホームページ制作

福岡の企業を成長に導くホームページ制作|ブランディングと集客の最適解とは

ホームページ制作に関するお困りごとやご質問・ご相談などございましたらどうぞお気軽にお問い合わせください。
電話でのご連絡も受け付けております。こちらの番号にお掛けください。
福岡本社電話番号:092-402-0699

    お問い合わせ事項※必須
    会社名※必須
    名前※必須
    メールアドレス※必須
    電話番号※必須
    運営中のサイトURL
    参考のサイトURL
    競合のサイトURL
    制作ご予算
    納期の目安
    ご紹介者名
    お問い合わせ

    ホームページ制作のご相談の場合は可能な範囲で以下の記入をお願いいたします。
    ①ご依頼概要 ②大まかなスケジュール ③その他留意点

    個人情報の取扱いについて、同意の上送信します。