「うちは無名だから」は命取り。1日千回のWebサイト攻撃

公開日:2026/01/22・

Tag：タグ: AI投資, 情報セキュリティ

【目次】

1 はじめに：平和な朝を襲った「1,000回の警報」
2 第1章：それは「万引き」ではなく「強盗」だった
3 第2章：敵の正体は「国境なき自動軍団」
4 第3章：発想の転換。「日本人以外、全員お断り」
5 第4章：経営者が今すぐ確認すべき「3つの守り」
6 最後に：Webサイトは「社員」です

はじめに：平和な朝を襲った「1,000回の警報」

「まさか、うちのような地方の小さな事務所が狙われるはずがない」

多くの経営者様は、そう思っているのではないでしょうか。

政府機関でもない、上場企業でもない。ただの個人の経営コンサルタントのサイトです。盗まれて困る国家機密があるわけでもない。

「狙われるとしても、せいぜいブログ記事をパクられるくらいだろう」

私も、昨日までは本気でそう思っていました。

しかし、その油断はデータによって無残に打ち砕かれました。

私のWebサイトの裏側（アクセスログ）を確認したとき、そこには背筋が凍るような記録が残っていたのです。

「1日あたり、1,000回以上の不正アクセス」

深夜から早朝にかけて、私のサイトの管理画面をこじ開けようとする何者かの足跡が、秒単位で記録されていました。

しかも、ただの「閲覧」ではありません。彼らは明確な殺意を持って、私のサイトの心臓部を狙っていたのです。

今日は、私が体験した**「サイバー攻撃のリアル」と、そこから中小企業が学ぶべき「たった一つの生存戦略」**についてお話しします。

「衝撃の事実。1000件以上の攻撃。アクセスの9割以上が海外からの攻撃でした。」

「実際の攻撃ログ。存在しないウイルスファイルを執拗に探しているのが分かります。」

第1章：それは「万引き」ではなく「強盗」だった

私が当初犯していた最大の勘違い。

それは、「彼らは私のノウハウ記事を読みたくて（コピーしたくて）来ている」と思っていたことでした。

しかし、ログを詳細に解析して分かった事実は、もっと凶悪なものでした。

彼らが執拗にアクセスしていたのは、記事ページではなく、以下のような「特殊なファイル」だったのです。

xmlrpc.php への集中攻撃
これは、記事を読むためのファイルではありません。**「何千通りものパスワードを機械的に試して、管理画面のロックを無理やりこじ開ける（ブルートフォース攻撃）」**ための、ハッカー御用達の裏口です。
flower.php や buy.php の探索
これらは私のサイトには存在しないファイルです。ではなぜ探していたのか？
これらは、過去に世界的に流行した**「ウイルス（バックドア）」の名前**です。「このサイトに、昔のウイルスが残した『侵入用の裏口』はないか？」と、手当たり次第にドアノブを回して確認していたのです。

つまり、彼らは「本を立ち読み（記事コピー）」しに来たのではありません。

バールとドリルを持って、**「事務所の金庫を破壊（侵入）」**しに来ていたのです。

もし、対策が数日遅れていたらどうなっていたか。

セキュリティ専門家の見解によれば、以下の3つの結末が待っていました。

ランサムウェア被害：サイトがロックされ、「解除してほしければ身代金を払え」と脅される。
サイトの改ざん：トップページを開くと、勝手に「偽ブランド品の詐欺サイト」や「アダルトサイト」に飛ばされるようになり、会社の信用が地に落ちる。
「踏み台」にされる：これが最も恐ろしいケースです。自社のサーバーが乗っ取られ、そこから他社へサイバー攻撃を行う「犯罪の基地」にされる。知らない間に、被害者ではなく「加害者」になってしまうのです。

第2章：敵の正体は「国境なき自動軍団」

「中国からのアクセスをブロックすればいいのではないか？」

最初に私が考えたのはその程度のことでした。実際に、中国（CN）からの接続を拒否する設定を行いました。

しかし、結果は**「惨敗」**でした。

ブロックした数分後には、今度は「アメリカ」から。次は「インド」から。「ブラジル」から。「ポーランド」から……。

攻撃が止まるどころか、むしろ激しさを増していったのです。

なぜこんなことが起きるのか？

現代のサイバー攻撃の主役は、人間ではなく**「ボットネット（乗っ取りPC軍団）」**だからです。

彼らは、ウイルスで乗っ取った世界中の一般人のパソコンやサーバーを「踏み台」にし、遠隔操作で一斉攻撃を仕掛けてきます。

私が「中国」という扉を閉めれば、彼らは瞬時に「アメリカの仮面」を被ったボットに命令を出し、別の窓から侵入を試みる。

「ここを塞げば、あそこから入ってくる」

モグラ叩きのような対策では、24時間365日休まず攻めてくる機械の軍団相手に、人間が勝てるはずがなかったのです。

第3章：発想の転換。「日本人以外、全員お断り」

終わりなき攻撃通知に疲弊していた私が、最後にたどり着いた結論。

それは、「怪しい奴を追い出す（ブラックリスト）」という発想を捨て、**「信頼できる人だけを通す（ホワイトリスト）」**という考え方に切り替えることでした。

私たちのような地域密着型の中小企業にとって、本当のお客様はどこにいるでしょうか？

答えはシンプルです。「日本国内」です。

ブラジルやポーランドからのアクセスが必要な理由は、1ミリもありません。

私はセキュリティ設定を根本から変更し、**「日本（JP）のIPアドレス以外からのアクセスは、全て遮断する」**という鉄の掟を作りました。

効果は、劇的でした。

設定したその瞬間から、あれほど鳴り止まなかった1,000件以上の通知が、ピタリと止まりました。

アメリカからの攻撃も、偽装したボットも、ウイルスを持ったハッカーも。

彼らがどんな高度な技術を持っていようが、**「日本のIDを持っていない」**というただ一点の理由だけで、私のサイトの入り口に立つことすらできなくなったのです。

玄関の前に強固なシャッターを下ろしたことで、彼らはもう、ドアノブに触れることさえできません。

これが、中小企業が取るべき「最強のセキュリティ対策」でした。

第4章：経営者が今すぐ確認すべき「3つの守り」

Webサイトのセキュリティは、もはや「担当者任せ」や「制作会社任せ」にする技術的な問題ではありません。

乗っ取られれば数千万円の損害や信用の失墜につながる、重大な**「経営リスク」**です。

「うちは大丈夫だろう」という正常性バイアスを捨ててください。

彼らは「和田健一」を狙ったのではありません。インターネット上の「鍵の開いた家」を無差別に狙っているのです。あなたの会社が、たまたまそのリストの次に入っているかもしれないのです。

もし、自社のサイトがWordPress（ワードプレス）で作られているなら、今すぐ以下の3点を担当者に確認させてください。

1. 「海外からのアクセス」を物理的に遮断しているか？

海外展開していないなら、海外からのアクセスを許可する必要はありません。

「IP Location Block（無料）」などのプラグインを使えば、今回私が実施した「日本限定バリア」をすぐに構築できます。これだけで、リスクの99%を排除できます。

2. 「管理画面の入り口」は隠されているか？

WordPressの初期設定のまま（ドメイン/wp-admin）にしていませんか？

これは、住所を公開して、玄関の前に「鍵はマットの下です」と書いているようなものです。「SiteGuard（無料）」などを使い、入り口のURLを変更してください。

3. 「バックアップ」は取れているか？

どれだけ対策しても、リスクをゼロにはできません。

万が一侵入された時、昨日の状態に戻せる「タイムマシン（バックアップ）」があるかどうかが、会社の命運を分けます。

最後に：Webサイトは「社員」です

私のサイトのログに残った、秒単位で繰り返される無機質な攻撃の記録。

あれを見たときの恐怖は、一生忘れないでしょう。

Webサイトは、24時間365日、文句も言わずに働いてくれる優秀な営業マンであり、大切な「社員」です。

その大切な社員に、防弾チョッキも着せず、丸腰のまま戦場に立たせてはいませんか？

今回の私の実体験が、皆様の会社の「守り」を固めるきっかけになれば幸いです。

もし、「何から手をつければいいか分からない」「自社のサイトが心配だ」という方がいらっしゃれば、お気軽にご相談ください。

技術者としてではなく、同じ「会社を守る経営者」の視点で、最適な防衛策をアドバイスいたします。

※本記事で紹介している「日本国外からのアクセス遮断」は、国内顧客メインの中小企業向けの対策です。海外取引がある企業様は別の対策が必要ですので、ご注意ください。

お問い合わせはこちらから☟

戻る

メッセージが送信されました

お問い合わせはこちらから☟

Share this post:

X (Twitter) Facebook Pinterest LinkedIn Email