中央区で事業承継・M&Aを支援している、中小企業診断士の豊田元幹(とよだもとき)です。
師走も差し迫ったこの頃、皆様いかがお過ごしでしょうか?
さて本日は、私が出会ったとある泥棒の話です。
1. 深夜3時、静寂を破った「一通の警告」
その戦いは、私が深い眠りについていた深夜3時に始まりました。
スマホの通知で目が覚めた私が目にしたのは、自社サイトを運用しているサーバー会社からの緊急メールでした。
「異常なアクセスを検知したため、システム側でパスワードを強制的に変更し、アカウントを保護しました」
深夜3時。街が静まり返り、誰もが寝静まっているその時間に、私の管理画面へログインするための「パスワード再設定」を促す通知が届いていたのです。
会食だった前夜のアルコールが残る頭だったこともあり、最初は頭が回りませんでした。画面の指示に従い、すぐにパスワードの再設定を行いまた眠りにつきました。
しかしこれが、その後48時間にわたる「見えない泥棒」との戦いの幕開けでした。
2. 2日間で9万回。鳴り止まない「ドアノブの音」
翌朝、サーバー会社からまたメールが届きました。
「利用容量が規定を超えています」
HP上へデータを置くようなことが無いため不思議に思い、昨晩のパスワード変更も含めてサーバー会社へ問いあわせました。
すると確かに容量を利用している、との回答が。調べてもらうと、特定のページで発生していることが判明しました。
そのページを確認すると、見慣れない大量のIPアドレスがログインを試みていることが発覚しました。
なんとその数、2日間で9万回。
一瞬、目を疑いました。
2日間(48時間)で9万回ということは、1時間あたり約1,875回。
これをリアルの「家」に例えるなら、あまりにも恐ろしい光景が浮かび上がります。
姿の見えない泥棒が私の家の玄関の前に居座り、24時間休まず、約2秒に1回のペースで違う鍵を差し込んでは、ガチャガチャとドアノブを回し続けていたのです。
想像してみてください。自分が家の中で平穏に眠っているその裏で、玄関のドアノブが猛烈な勢いで、規則的に、そして執拗に動き続けている光景を。
しかもそのアクセス元の国籍をたどると、アメリカ、ロシア、中国、ヨーロッパ……。まさに世界中から、入れ替わり立ち替わり「見えない泥棒」がやってきていたのです。
私の家は、地球の裏側にいる何者かに24時間監視され、こじ開けようとされていたのでした。
3. なぜ「うちのような規模の会社」が狙われるのか
「大企業でもない、一診断士のサイトなんて、世界中の泥棒が興味を持つはずがない」 そう思われるかもしれません。
実は、私自身もどこかでそう考えていました。しかし、これは致命的な誤解でした。
現代の泥棒(ハッカー)は、特定の「会社名」を見て攻撃してくるわけではありません。
彼らは高度な自動プログラムを使い、世界中のウェブサイトを無差別に巡回しています。
そして、「鍵の開けやすい家」を自動で見つけ出しているのです。
特に、HP制作を外注している中小企業が陥りやすい隙があります。
それが「外注で作成したHP」です。外注先へHPの作成を依頼した場合、
・ユーザーIDが「admin」などのデフォルト設定のまま
・ログイン画面のURLが、誰でも推測できる場所(玄関の場所)のまま
となっているケースが往々にしてあります。
これらは、泥棒に対して、
「ここが玄関です。合鍵のパターンも、まずは『admin』から試してみてください」
と看板を出しているようなものです。私のサイトも、その隙を突かれようとしていたのでした。
4. 私を救った「リスク管理」の設計
今回、9万回もの猛攻を受けながら、最悪の事態(情報の流出やサイトの改ざん)を免れたのには、2つの大きな理由がありました。
一つは、サーバーの自動防衛機能です。
パスワードが突破されかけた瞬間にシステムが異常を検知し、深夜に強制的に鍵を付け替えてくれたこと。これによって、泥棒はあと一歩のところで侵入を阻まれました。
もう一つは、HPの設計思想です。
私は当初からHPを独立した環境で運用し、社内の重要な機密データや顧客情報とは完全に切り離していました。これを家に例えるなら、「離れ(HP)」と「母屋(大切なデータがある場所)」を物理的に別の場所に建て、渡り廊下すら設けていなかったということです。たとえ「離れ」の鍵を何万回されようとも、そこには盗まれるべき財産も、母屋へ続く道もありません。
M&Aアドバイザーとして日々、企業の「リスク」を精査し、その価値を守る立場にある身として、この「リスクを分散させる設計」が結果として自分自身の身を救うことになったのです。
5. 対策を講じた瞬間、訪れた「劇的な静寂」
私はこの2日間で、二度と同じことが起きないよう、徹底的な対策を講じました。
・推測不可能なほど強固なパスワードへの再設定
・「玄関そのものを隠す工事」(ログインURLを独自の複雑なものに変更)
・海外からのアクセスを制限するフィルターの設置
すべての作業を終え、新しい「鍵」をかけ終えたとき、驚くべきことが起きました。
あんなに激しく、狂ったように続いていたアクセス試行が、翌日からピタリと「ゼロ」になったのです。強固な鍵をかけ、そもそも玄関がどこにあるか分からないように隠したことで、泥棒たちは「ここは手間がかかる。割に合わない」と諦め、次の「鍵の緩そうな家」を探しに去っていきました。
6.あなたの「玄関」は、今この瞬間も回されている
今回の体験を通じて、私が皆さんに最も伝えたいこと。
それは、「対策をすれば守れる。しかし、しなければいつまでも狙われ続ける」という現実です。
「うちは大丈夫」「何も盗むものはない」と対応を何もしないと、モノは取られなくても貴重な時間を奪われるかもしれません。私のように。
・あなたのHPのユーザーIDは「admin」になっていませんか?
・ログインURLは、誰でも推測できる場所のままではありませんか?
・万が一「離れ」が襲われたとき、あなたの「母屋」は安全ですか?
もし少しでも不安を感じたなら、今すぐ設定を確認してください。
姿の見えない泥棒は、今この瞬間、地球の裏側であなたの家のドアノブに手をかけているかも、、、。
アイエスピー合同会社
代表社員 中小企業診断士 豊田 元幹(とよだ もとき)
~販路開拓、設備投資や資金調達、事業承継を支援します~
お問い合わせはこちらから
