WEBサイトセキュリティにおけるサイバー攻撃の現状
世界中がコロナ禍で大変な状況に置かれている中、サイバー攻撃が激増しています。
様々な調査機関からの発表がありますが、コロナに便乗したメールでのフィッシング詐欺。企業や工場を狙ったランサムウェア(身代金ウィルス)やパソコンの乗っ取りを狙った攻撃。強制的にテレワークに移行せざるを得なくなったパソコン端末の脆弱性を狙ったサイバー攻撃等・・・。コロナ禍の心理的不安定な状況を狙い、攻撃者が積極的に動き出しています。
サイバー攻撃の激化
ホームページ(Webサイト)へのサイバー攻撃
ホームページが乗っ取られた
サイトが改ざんされてしまった
サイトをぐちゃぐちゃにされてしまった
バックアップを取得していない中で、サイトのデータが全て消されてしまった
サイバー攻撃で被害に遭遇した後に、発注元と制作側が揉めて収集がつかない事象等も発生しております。
サイバー攻撃は「突然」襲ってきます。
適切な対策をしていない場合は、我が身に突然降りかかってきてしまう、という事実を認識していただき、未然に対策を行う必要があります。
サイバー攻撃に遭遇するケース
実は、上記ホームページ被害に遭遇した企業のほとんどが
世界的に有名なCMSである「WordPress」を利用していました。
WordPressは、無料で使えるオープンソースのCMSです。サイト設計の柔軟性、プラグイン(ソフトウェアに機能を追加するための小さなプログラム)の豊富さなどから世界中で利用されており、世界中のWebサイトでの利用シェア30%以上もあります。
WordPressのセキュリティ問題
世界中で利用されてることによるリスク
世界中のWebサイトで使われている、ということは攻撃側にとっても手っ取り早く効率的にサイバー攻撃ができてしまう、ということに繋がります。手当たり次第に攻撃する際に、シェアが高いものからまず試してみるというのはサイバー犯罪の定石です。
無料で使えるオープンソースであることによるリスク
無料で使えるオープンソースであるため、脆弱性が発見されやすい、という問題もあります。特に古いバージョンを利用している場合は、攻撃手法がいくつも知られています。そのためサイバー攻撃の餌食になりやすい、という問題が起こります。これは、古いWindows OS(XPや7等)を使い続けているのは危険である、ということと同じです。
また、公開されているプラグインに脆弱性が残っている場合があります。危険性が高い方法でプラグインを設計開発、公開してしまい、それが攻撃者から発見されて攻撃されてしまう、というケースも存在します。
運用側の設定不備によるセキュリティ問題
WordPressのセキュリティ上の脆弱性も指摘されますが、そもそもWebサイト制作側にセキュリティに関する正しい知識を身につけている人が少ない、というケースも見受けられます。
基本的なセキュリティ対策を施しておらず、基本設定のままWordPressを使っていたり、IDやパスワードの設定が弱すぎたり、管理画面へ簡単にアクセスできる設定のまま公開したり、バージョン情報を隠すことなく公開したり・・・
このように、被害に遭遇するケースは
- WordPressやプライグインの脆弱性の問題
- 運用側の設定不備の問題
に大別することができます。
セキュリティ対策について
セキュリティ対策で重要なこと
基本的なセキュリティ対策の知識を身につけること
セキュリティ上の設定を適切に行い、脆弱性を潰すこと
常に新しいものにアップデートし続けること
Webサイトは一度作って終わりではなく、その後も継続したアップデートが必要です。
セキュリティ対策に自信がない場合や運用面まで手が回らない場合は、外部の専門家に対応を依頼したり、セキュリティの高いCMSを活用するなどして、セキュリティ対策の運用そのものをアウトソースしてしまうことも検討する必要があります。
株式会社CISO那須慎二氏のプロフィール
執筆者:那須慎二
株式会社CISO
代表取締役
国内大手情報機器メーカーにてインフラ系SE、
国内大手経営コンサルティンファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティコンサルティングを実施後、中堅・中小企業向けセキュリティに関するコンサルティング、設計、構築、運用を行なう会社を創業。難しいことを誰にでもわかりやすく伝えることが得意。
※Secure CMSは那須慎二氏の監修を受けたサービスです。
| 著書 |
|
|---|---|
| メディア出演・他 |
NHK(スタジオ生放送)、日経産業新聞、日経ビジネス、東京海上日動(サイバーリスクジャーナル) リコー(あるあるから見つける経営課題) ITmedia(中堅・中小企業のセキュリティ対策) 東京商工会議所、等多数 |
