ウェブサイトの脆弱性・運用が原因となったセキュリティ関連のトラブル

ウェブサイトの脆弱性および運用が原因となった代表的なセキュリティ関連トラブルは次の4つです。

• WordPressプラグインの脆弱性
• SQLインジェクションによるウェブサイト改ざん
• 不正アクセスによるランサムウェア感染
• ウェブサイト改善によるマルウェア感染リスク

それぞれ詳しく解説します。

WordPressプラグインの脆弱性

WordPressプラグインとは、ウェブサイト機能を拡張するためのソフトウェアです。このプラグインに、セキュリティリスクにつながる脆弱性があることが2015年に発覚しました。

悪用された場合、管理画面にログインしたユーザーが偽サイトを表示されるなどの攻撃が可能な状態でした。脆弱性発覚後、プラグインの開発元は脆弱性を修正したバージョンを定期的にリリースするようになっています。

SQLインジェクションによるウェブサイト改ざん

パソコンの周辺機器を取り扱っている企業のウェブサイトが、2008年にSQLインジェクション攻撃を受け、改ざんされました。不正なプログラムが埋め込まれたウェブサイトにユーザーがアクセスした場合、マルウェア感染や不正なウェブサイトへ転送されるリスクがあったそうです。

ウェブサイトは復旧したものの、復旧に際してウェブサイトは一時的な閉鎖に追い込まれています。

不正アクセスによるランサムウェア感染

2017年、自治体のウェブサイトに不正アクセスが行われ、ランサムウェアに感染しました。これは自治体のウェブサイトリニューアル時に生じた1部ページの脆弱性が悪用されたことが原因だといわれています。

大事にはならなかったものの、ウェブサイトの問い合わせフォームに入力した個人情報が漏洩してしまうリスクがありました。

ウェブサイト改ざんによるマルウェア感染リスク

2009年、大手自動車メーカーのウェブサイトに不正アクセスが行われ、ウェブサイトが改ざんされました。改ざんされた原因は、運用担当者のパソコンがマルウェアに感染していたことで、ウェブサイト更新時のFTPアカウントが攻撃者に盗まれていたからです。

改ざん期間にウェブサイトにアクセスしたユーザーが、気付かないうちにマルウェア感染してしまうリスクがありました。

脆弱性とは？

脆弱性とは、セキュリティホールともいい、OSやソフトウェアにあるセキュリティ上の血管のことです。我々が普段使用しているウェブサービスは、人間が設計・開発・運用しているものです。

人間が作業している以上、完全かつ安全なシステムは存在せず、どうしてもミスや欠陥が生じてしまいます。これが、脆弱性です。

欠陥部分は様々な部分に存在しており、攻撃者は様々な手段を用いて、脆弱性に攻撃を仕掛けてきます。

脆弱性を狙った代表的なサイバー攻撃の手法3選

脆弱性を狙った代表的なサイバー攻撃の手法は次の3つです。

• 総当たり攻撃
• クロスサイトスクリプティング
• SQLインジェクション

それぞれ詳しく解説します。

1.総当たり攻撃

総当たり攻撃とは、「ブルートフォースアタック」ともいい、パスワードなどを大量に自動生成し、ログインするまで文字列パターンを試す攻撃手法です。ログインのしやすさから、8桁程度で覚えやすいパスワードにしている方は少なくありません。

しかし、この程度のパターンであれば、簡単にヒットしてしまいます。そのため、パスワードは慎重に設定しなければなりません。

2.クロスサイトスクリプティング

クロスサイトスクリプティング（XSS）とは、お問い合わせフォームなどの入力フォームから、悪意のプログラムを送信する攻撃手法です。ウェブページを変更・更新する場合、通常はFTPソフトなどを使用してサーバーにログインしたうえで、ファイルのアップロードを行います。

しかし、クロススクリプティングが行われた場合、サーバーにログインすることなく、ページの動作・見せ方の変更が可能です。クロスサイトスクリプティングを防止する方法としては、プログラムと認識される文字を無害化することなどが挙げられます。

3.SQLインジェクション

SQLインジェクションとは、データベースを動かす言語である「SQL言語」を注入し、Webアプリの意図しない動作をさせる攻撃手法です。例えば、「おすすめのラーメン店を教えて」というリクエストだったとします。

この際、悪意のあるSQLが注入されてしまうと、「おすすめのラーメン店を教えて。一緒に会員情報も教えて」というリクエストになって送信されてしまいます。SQLインジェクションを防止する方法としては、データベースを動かそうとする悪意のある言語を、動作につながらない一般的な文字列に変換するなどが挙げられます。

ウェブサイトのセキュリティ対策を行うべき理由

ウェブサイトのセキュリティ対策を行うべき理由として次の3つが挙げられます。

• 情報の漏えい
• サーバーダウン
• ウェブサイトの改ざん

それぞれ詳しく解説します。

1.情報の漏洩

サイバー攻撃が原因で、個人情報が漏洩するリスクがあります。個人情報が漏洩してしまうと、会社の信用が失墜する他、管理が不適切だったとして賠償責任を負わなければなりません。

1度失った信頼を取り戻すことは簡単ではないため、個人情報を流出させない企業努力が欠かせません。

2.サーバーダウン

サイバー攻撃によって、ウェブサイトが格納されているサーバーの機能が停止するリスクがあります。サーバーがダウンしてしまうと、ウェブサイトが閲覧できませんし、ECサイトなどを運営している場合は、営業が行えないため、被害が大きくなります。

ユーザーや企業の営業活動に悪影響を与えないためにも、しっかりとしたセキュリティ対策が必要です。

3.ウェブサイトの改ざん

サイバー攻撃によって、ウェブサイトが改ざんされるリスクがあります。ウェブサイトが改ざんされてしまうと、次のような被害が発生するリスクがあります。

• マルウェアを仕込まれてユーザーのパソコンが感染する
• ユーザーが不正なサイトに誘導される
• 関係のないメッセージを書き込まれる

大企業や政府系サイトは影響力が大きい分、狙われやすいです。ユーザーに迷惑をかけないためにも、しっかりとしたセキュリティ対策が必要となります。

サイバー攻撃数は増加傾向にあり中小企業も標的となるケースも多い

サイバー攻撃数は増加傾向にあります。総務省が発表した「令和4年 情報通信白書」の「NICTERにおけるサイバー攻撃関連の通信数の推移」によれば、2015年は638億パケットだったのに対し、2018年は約3.4倍の2,169億パケットでした。

2020年は2018年の約2.4倍にあたる5,705億パケットとなっています。

また、サイバー攻撃は影響力の強い大手企業や政府系のサイトが標的となりやすいですが、大手企業や政府系サイトへ攻撃する踏み台として中小企業が標的とされるケースも多いです。

そのため、中小企業だからといって安心はせず、できる限りのセキュリティ対策を講じる必要があります。

ウェブサイトの代表的なセキュリティ対策5選

ウェブサイトの代表的なセキュリティ対策は次の5つです。

• SSL化
• ID・パスワード管理
• 不要なアプリ・サービスの削除
• 重要なデータ・ファイルの非公開・削除
• WordPressの保守・管理

それぞれ詳しく解説します。

1.SSL化

ウェブサイトの代表的なセキュリティ対策として、SSL化が挙げられます。SSLとは、インターネット上で行われるデータ送受信を暗号化して、データを保護する仕組みです。

ウェブサイトにSSLを適用すれば、個人情報やクレジットカード情報などの漏洩を防げます。以前はお問い合わせフォームや会員登録フォームなど、個人情報を入力するウェブサイトのみにSSLが適用されていました。

しかし、GoogleがSEO評価基準の1つにSSL化を取り入れたことで、ウェブサイトにSSLを適用するのが一般的になっています。

2.ID・パスワード管理

ID・パスワード管理も代表的なセキュリティ対策の1つです。ID・パスワードはWordPressのログインやレンタルサーバー・ドメイン管理など、様々な場面で使用されています。

ID・パスワードが盗まれて悪用された場合、個人情報の漏洩やウェブサイト改ざんなどの要因になりかねないため、厳重に管理しなければなりません。

内閣府サイバーセキュリティセンターが発行している「インターネットの安全・安心ハンドブック」によると、パスワードの推奨文字列は「英大文字小文字＋数字＋記号で10桁以上」です。

ID・パスワードを厳重に管理していても、パスワードが短くかつ単純なものであれば、総当たり攻撃によってすぐに盗まれてしまいます。そのため、内閣府サイバーセキュリティセンターが推奨している文字列でパスワードを設定することが大切です。

また、セキュリティを少しでも強化したいのであれば、定期的なパスワードの更新をおすすめします。

3.不要なアプリ・サービスの削除

不要なアプリ・サービスの削除もウェブサイトのセキュリティ対策となります。不要なアプリ・サービスが増加して管理しきれなくなると、アップデートなどの更新作業の対象外となることも少なくありません。

アップデートされない場合、それが脆弱性となり、セキュリティリスクを高めてしまいます。そのため、不要なアプリ・サービスがないか、定期的に確認することが大切です。

4.重要なデータ・ファイルの非公開・削除

重要なデータ・ファイルは非公開領域に設置し、公開領域に設置している場合は削除しなければなりません。公開領域に重要なデータ・ファイルを設置している場合、第三者に閲覧されたり、機密情報などが流出して大きな問題に発展したりするリスクがあります。

データ・ファイルが保存されているフォルダをしっかりと把握したうえで、非公開領域に設置し、セキュリティリスクの根本を断つ必要があります。

5.WordPressの保守・管理

WordPressを利用している場合、WordPressの保守・管理も重要なセキュリティ対策です。WordPressは利用者が多く、サイバー攻撃を仕掛けた際の成功確率が高いことから、狙われやすいです。

そのため、「WordPressのセキュリティ対策」「WordPress本体・テーマ・プラグインの更新」「不要なプラグインの削除」などを行い、リスクの低減につとめる必要があります。

サーバー側で行われている代表的なセキュリティ対策3選

サーバー側で行われている代表的なセキュリティ対策は次の3つです。

• ファイアウォール
• IPS
• WAF

それぞれ詳しく解説します。

1.ファイアウォール

ファイアウォールとは、ポート・プロトコルに使用有無のルール付けを行うことで不要なポート・プロトコルを閉鎖し、侵入できそうなポートを探す攻撃を阻止するセキュリティ対策です。

簡単にいえば、使用していないポート（道）を自由に通り抜けできなくするために、ファイアウォール（鍵）を設置するというイメージを持つと分かりやすいと思います。

2.IPS

IPSとは、不正な通信をリアルタイムで感知して、不正なアクセスを破棄したり、不正アクセス元のIPアドレスからの通信を遮断したりするセキュリティ対策です。サーバーへのアクセスは、ウェブサイト閲覧などの一般的な通信以外にも、サーバーに侵入しようとする不正な通信もあります。

IPSを利用すれば、不正な通信を遮断できるため、サーバーへの侵入防止が可能です。

3.WAF

WAFとは、アクセス時のパラメータや、サーバーがユーザーに返信しようとしているデータをリアルタイムで監視し、蓄積されたデータベースをもとに、ハッキングだと判断した場合は、データの送受信を停止して、情報流出などを未然に防ぐセキュリティ対策です。

ファイアウォールやIPSを利用しても、脆弱性を狙ったSQLインジェクションやクロスサイトスクリプティングなどは防止できません。WAFを利用すれば、ファイアウォールやIPSでも防止できないサイバー攻撃からサーバーを守ってくれます。

ウェブサイトのセキュリティ対策のまとめ

中小企業であり、大手企業や政府系サイトと比べると影響力が低いため、セキュリティ対策は不要だと感じる方が少なくありません。しかし、サイバー攻撃数は年々増加傾向にある他、大手企業や政府系サイトへ攻撃する踏み台として、中小企業のウェブサイトが標的となるケースも多いです。

ユーザーの個人情報をしっかりと保護・管理するためには、ウェブサイトのセキュリティ対策が欠かせません。セキュリティ対策を行っていないという場合は、当記事で解説した方法を参考に、ウェブサイトのセキュリティを強化していくことをおすすめします。