日商 Assist Biz

更新

中小企業のセキュリティー対策 Vol.7 サイト改ざんで加害者に

Wordpressの管理画面

CMSを悪用した被害が急増

ウェブサイトは今や企業にとって事業案内や求人、製品・サービスの訴求など多岐にわたる役割を果たし、事業運営に不可欠な存在である。しかし、ウェブサイトが改ざんされる被害が後を絶たず、企業はウェブサイトの役割を最大限生かしつつ、安全に運用する難しさに直面している。

ウェブサイトが改ざんされると、政治的主張などを掲載されたり、ウイルス配布に悪用されたりする。ウイルス配布に悪用された場合、見た目では分からないようにウイルスやウイルス配布サイトへのリンクをウェブサイトに埋め込まれるため、ウェブサイトの管理者や利用者が気付くのが遅れ、長期間にわたって利用者がウイルスに感染するなどの被害を与え続けることになる。このようにウェブサイト改ざんは、改ざんされた企業が被害に遭うだけでなく、加害者になってしまう深刻な問題である。

近年、被害報告の中でも増えているのが、WordpressやJoomla!などのCMS(コンテンツマネジメントシステム)で構築されたウェブサイトである。CMSを利用すると、ウェブサイトのコンテンツ作成・更新・管理が容易であるため、中小企業でも利用する企業が増えている。しかし、CMSを初期設定のまま利用したために管理画面に不正アクセスされたり、CMSやCMSの拡張機能(プラグイン、テーマ)の脆弱(ぜいじゃく)性が報告されても放置したままで利用したりすることで攻撃を受けていたりする。

CMSの脆弱性情報が公表された場合、そのCMSで構築されたウェブサイトは一律で攻撃を受け、改ざんの被害が急増する恐れがある。本年2月に発生したWordpressの脆弱性を突いた攻撃では、脆弱性の公表から2週間で150万件を越えるウェブサイトが改ざん被害にあったと報道されている。

できるだけ早くアップデートを

CMSを用いたウェブサイトの改ざん対策として、以下の対策を実施することを推奨する。

①ソフトウエア(CMSや拡張機能を含む)の脆弱性対策をする

脆弱性情報が公開された場合、できるだけ早くアップデートする必要がある。ただし、利用しているサーバーの契約によっては、ウェブサイト運営者自身でアップデートできない場合があるので、ウェブサイト構築に当たり事前に契約内容を確認しておきたい。 また、ソフトウエアの脆弱性は、CMSや拡張機能だけに限った話ではない。OSやサーバーソフトウエアなどサーバーに組み込まれている全てのソフトウエアの脆弱性情報に注意する必要がある。

②認証を突破されないための対策をする

CMSの管理画面にアクセスするためには、必ず認証画面での認証が必要になる。認証を突破されないために、認証画面をインターネット上に公開しないよう設定を変更したり、認証画面を守るプラグインを導入したり、強固なパスワードを使用するようにしたい。

また、管理者の管理端末(PC)からの認証情報窃取にも気を付ける必要がある。管理端末へのウイルス対策ソフトの導入やソフトウエアの脆弱性対策を行い、フィッシングサイト(偽の認証画面)にアカウント情報を入力しないように注意してほしい。

CMSを用いたウェブサイト構築における情報セキュリティー対策の詳細は、独立行政法人情報処理推進機構(IPA)のウェブサイト(https://www.ipa.go.jp/security/)に掲載する技術資料を参考にしてほしい。

(独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

スマートフォンは、従来の携帯電話端末と比較して高度な情報処理機能を持つ半面、十分なセキュリティー対策を実施していないと、情報漏えいなどのさまざまな脅威の被害に遭遇す…

前の記事

独立行政法人情報処理推進機構・江島将和

サイバー攻撃は他人事ではない テレビや新聞などでサイバー攻撃による情報漏えい事件などが報道されているが、これは大企業に限った話ではない。先頃、独立行政法人情報処理推…

関連記事

独立行政法人情報処理推進機構・江島将和

2020年は新型コロナウイルス感染症の世界的なまん延に伴い、政府機関から日本の組織に対して感染症対策の一環としてニューノーマルな働き方の一つであるテレワークが推奨された…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティに関するトピックについて、情報セキュリティ分野の研究者な…

独立行政法人情報処理推進機構・江島将和

デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタルトランスフォーメーション(DX)」が注目を集めている。経済産業省が2018年9月に公開した…