問い合わせは前年より約16%増
独立行政法人情報処理推進機構(IPA)は、一般的な情報セキュリティに関する技術的な相談窓口「情報セキュリティ安心相談窓口」を運用している。2024年第2四半期(4~6月)の相談対応件数は3757件、前年同四半期比では約16・5%増となっている。今四半期に相談窓口に寄せられた相談事例を紹介する。
【相談事例1】ウェブサイトの改ざん
(相談内容)
当組織のドメイン名のURLで他のECサイトに接続されるケースが発生している。 原因は特定していないが、CMS(コンテンツマネジメントシステム)で使用しているプラグイン(アプリケーションの機能を拡張するソフトウエア)に問題があったと考える。 CMSの更新、サイトのページなどの再構築、Google Search Console(グーグル検索の分析ツール)でキャッシュされたURLを消去したが、検索したときに別のサイトのディスクリプション(要約文)が表示される。
(回答)
ウェブサイトの再構築をしてもすぐに改ざんされることから、脆弱(ぜいじゃく)性が悪用されているか、バックドア(侵入口)が設置されている、または認証情報が知られていると考えられ、詳細を調査し、再発防止を行う必要がある。
・サーバーのアクセスログやログイン履歴、CMSのログイン履歴などを確認する。 ・CMSおよびプラグインやテーマ(レイアウトのテンプレート)の脆弱性確認と更新をする。 ・ウェブサイトを構成するウェブサーバー、スクリプト実行環境、保守アクセス用のSSH/FTP(通信規格)についても確認と更新をする。・ウェブサイトやCMSの管理者パスワードの変更と、不審なアカウントが追加されていないかを確認する。 ・サイト内に不審なファイルが設置されていないかを確認する。 ・サイトを再構築。 サイトが正常な状態に戻った後、Google Search Consoleを使用して復旧後のサイト情報を再クローリング(巡回)する申請を行うことで、検索エンジンが保持している不審なURLの削除を早められる可能性がある。すぐに対処できない場 合、ウェブサイトの一時的停止も検討する。
機械的投稿にも注意を
【相談事例2】問い合わせフォームへのスパム投稿
(相談内容)
運営しているウェブサイトの問い合わせフォームに断続的に不審な問い合わせが届いており対応に苦慮している。入力項目として設けている氏名や電話番号やメールアドレスには、当組織の公開情報などが入力されており、問い合わせ内容は意味不明なものである。この不審な問い合わせは、当組織だけではなく関連する事業者の問い合わせフォームにも届いていると連絡が入っている。
(回答)
フォームの送信ボタンをクリックするだけで、フォームの内容がサーバーで送信され処理されてしまう場合、機械的なアクセスで問い合わせを送信することが可能となる。フォームに「CAPTCHA(キャプチャ)認証」を設置することによって機械的な投稿を制限することができる。しかし、人が行っている場合、CAPTCHA認証は限定的になる。
ウェブサーバーのアクセスログにアクセス元のIPアドレスが残るので、これに規則性がないか確認し、本来の問い合わせフォームを使う必要がないIPアドレスから連続して投稿が行われている場合、当該IPアドレスをブロックすることなどが考えられる。例として、海外のIPアドレスをブロックする。ただし、誤ってブロックすると、本来の問い合わせが届かなくなる可能性がある。また、フォームへCMSやウェブサーバーへの攻撃となる文字列が送信されていないか確認する。
相談事例を参考に、自社の対策の整備・見直しを進めてほしい。
「情報セキュリティ安心相談窓口」についてはこちら
(独立行政法人情報処理推進機構・江島将和)
