このページでは、ホームぺージを公開した後のセキュリティに関する脅威や、セキュリティの保守管理が必要な理由を詳しく紹介いたします。
実際にハッキング(改ざん)された実例や、セキュリティリスクがどんな影響を与えるのか、そしてセキュリティの保守管理はどのようにリスクを軽減するのかについても説明いたします。
※実例紹介は、個人情報保護の観点から一部フィクションとさせていただきます。
目次
実例:ハッキング(改ざん)されたホームぺージ
まずは、実際にホームぺージをハッキング(改ざん)された実例を紹介します。
- 函館市内サービス業のホームぺージ
- 弊社と保守管理契約なし
- ホームぺージは他社で制作
函館市内サービス業(以後、A社)はホームぺージの保守管理をどの会社とも行っていませんでした。
更新システムが入っていたので、お知らせの更新はA社自身で行い、ホームぺージの修正が発生した時だけ制作会社へ依頼するという状態でした。
発覚した経緯
ある日突然、本州の警察署からA社へ電話がありました。
警察 「他のハッキング事件を調べていたら、同様の手口でA社のホームぺージもハッキング(改ざん)されていることがわかりました」
A社 「えっ?うちのホームぺージが・・・?」
警察 「至急、対策されることをおすすめします」
A社 「わ、わかりました!(どうしよう・・・)」
最初は何が起こっているのかわからない
A社はまさに寝耳に水。
自分でホームぺージを全ページ見てみたけれど、怪しいところは見当たらなかったそうです。
「何が起こっているのかわからない」
「現状を全く把握できない」
「もしかしたらお客様に迷惑をかけているかもしれない」
「誰に相談すればいいのかわからない」
そこで、以前から紙媒体の広告でお付き合いのあった弊社に連絡をいただきました。
中国通販サイトへのリンクを発見
まずはホームぺージを一旦閉鎖。
次に、ウィルスチェックや感染対策等を行いながらA社サイトを隅々まで確認したところ、隠しリンクとして中国の通販サイトへ自動で繋がるリンクが埋め込まれていたのを発見!
また、ソースコード内にハッキング(改ざん)組織のロゴ等の情報が埋め込まれていたことも確認しました。
原因は更新システムの脆弱性
今回なぜハッキング(改ざん)されてしまったのか、原因は明らかでした。
A社のホームぺージでは、毎日の活動内容をホームぺージに掲載するために、自社で更新できるように更新システムを入れていました。
しかし、その更新システムは一度もアップデートされておらず、数年前に制作した当時の古いバージョンのまま運用されていたのです。
アップデートと再構築を行い修復
更新システムを最新版にアップデートし、ソースコードも新たに再構築を行うことでホームぺージを修復し、再び公開することができました。
今回、幸いなことにユーザーが被害にあったという報告はありませんでしたが、たまたま全てが良い方向に進んでいただけで、何があってもおかしくない状態だったのは明らかです。
- 早めに警察から連絡があった
- たまたまユーザーが気付きにくいところにリンクがあった
アップデートを含むセキュリティ保守の重要性をお伝えし、無事に再公開いたしました。
システムのアップデートで防げる
更新システムに関わらず、プログラムされたシステムはどんなに優れたものでも必ずアップデートが必要です。
脆弱性などのセキュリティに対応した新しいバージョンがリリースされる度に、アップデートをする必要があります。
私たちが普段使用しているスマートフォンも、iOSやAndroidのバージョンアップがありますよね。
パソコンもWindowsアップデートが行われています。
ホームぺージも例外ではありません。
更新システムが入っているなら、必ずアップデートを行ないと今回のA社のようなハッキング(改ざん)のターゲットになってしまいます。
セキュリティの保守管理内容
今回紹介したA社の事例は、セキュリティ保守管理を行っていれば防ぐことができました。
ホームぺージに更新システムを導入しいてる場合は、セキュリティの保守管理を行うことを強くおすすめします。
ここからは、弊社ではセキュリティ保守管理は何を行うのか、具体的な内容を紹介します。
各種アップデート
セキュリティ保守管理のメインはアップデート作業です。
アップデートを行う項目は多岐に渡ります。
特に多くのホームぺージで使われているWordPress(ワードプレス)はアップデートが頻繁にあります。
- WprdPress本体
- プラグイン
- PHP
- その他
また、サーバー側で行われたアップデートに合わせて対応していく必要もあります。
- PHP
- MySQL
- その他
アップデートを行う際は、公開されているホームぺージと同じサーバー内で、同じ環境の確認用コピーサイトを作り、アップデートを行ってもホームぺージ自体に支障がないか確認してから実施します。
正直なところ、時間も手間もかかる作業ですが、万が一に備えて万全の体制を整えています。
ブルートフォース攻撃の対策
ホームページの更新システムは、ユーザー名とパスワードを入力してログインします。
その性質上、機械で何万通りもの組合せを自動で作成してログインを試みる、パスワード総当たり攻撃(ブルートフォース攻撃)の標的になりやすいのです。
考えられる全てのパターンを試していくためものすごく時間がかかるように思えますが、実際は機械で行われるため、推測されやすく簡単なユーザー名やパスワードだと、すぐに突破されて不正ログインれてしまう可能性がとても高くなります。
そのため、弊社ではログイン時にもセキュリティ対策を行っています。
- パスワードを長文化(英数記号混在)
- ユーザー名漏えい防止
- 画像認証
- 二段階認証
- その他
安全性の高いサーバーを採用
どんなにホームぺージのセキュリティを強化していても、使用しているサーバーのセキュリティ対策が弱ければ意味がありません。
そのため、函館ホームぺージ制作の相談窓口では、独自に定めた基準を満たすサーバーでのみセキュリティ保守管理を請け負っております。
- セキュリティアップデートの頻度
- ホームぺージ運用に直結する項目のアップデート状況(PHP、MySQL等)
- 海外アクセス対策
- WAF対応
- その他
まとめ
ここまで、セキュリティ保守管理の重要性を中心にお伝えしてきました。
セキュリティ対策は目に見えないものなので、予算的に必要ないと判断されてしまうことが多くあります。
パソコンにセキュリティソフト(ウィルスソフト)を入れるのと同じで、ホームページのセキュリティ対策も決して100%防げるわけではないですが、セキュリティ対策を行うのと行わないのとでは、リスクが全然違います。
ホームぺージに更新システムを導入しているなら、現在のセキュリティ保守管理の状況を確認してみてください。
もし何も行っていないなら、セキュリティ保守管理を行うことを強くおすすめします。
最後に
私たち「函館ホームページ制作の相談窓口」もセキュリティ保守管理を行うことが可能です。
函館市・北斗市・七飯町及び道南エリアはもちろん、日本全国どのエリアからもご依頼いただけます。
ホームぺージの仕様によってはお受けできない場合もございますが、まずはお気軽にご相談いただければ幸いです。
