中小企業のセキュリティー対策 Vol.7 サイト改ざんで加害者に

Wordpressの管理画面

CMSを悪用した被害が急増

ウェブサイトは今や企業にとって事業案内や求人、製品・サービスの訴求など多岐にわたる役割を果たし、事業運営に不可欠な存在である。しかし、ウェブサイトが改ざんされる被害が後を絶たず、企業はウェブサイトの役割を最大限生かしつつ、安全に運用する難しさに直面している。

ウェブサイトが改ざんされると、政治的主張などを掲載されたり、ウイルス配布に悪用されたりする。ウイルス配布に悪用された場合、見た目では分からないようにウイルスやウイルス配布サイトへのリンクをウェブサイトに埋め込まれるため、ウェブサイトの管理者や利用者が気付くのが遅れ、長期間にわたって利用者がウイルスに感染するなどの被害を与え続けることになる。このようにウェブサイト改ざんは、改ざんされた企業が被害に遭うだけでなく、加害者になってしまう深刻な問題である。

近年、被害報告の中でも増えているのが、WordpressやJoomla!などのCMS(コンテンツマネジメントシステム)で構築されたウェブサイトである。CMSを利用すると、ウェブサイトのコンテンツ作成・更新・管理が容易であるため、中小企業でも利用する企業が増えている。しかし、CMSを初期設定のまま利用したために管理画面に不正アクセスされたり、CMSやCMSの拡張機能(プラグイン、テーマ)の脆弱(ぜいじゃく)性が報告されても放置したままで利用したりすることで攻撃を受けていたりする。

CMSの脆弱性情報が公表された場合、そのCMSで構築されたウェブサイトは一律で攻撃を受け、改ざんの被害が急増する恐れがある。本年2月に発生したWordpressの脆弱性を突いた攻撃では、脆弱性の公表から2週間で150万件を越えるウェブサイトが改ざん被害にあったと報道されている。

できるだけ早くアップデートを

CMSを用いたウェブサイトの改ざん対策として、以下の対策を実施することを推奨する。

①ソフトウエア(CMSや拡張機能を含む)の脆弱性対策をする

脆弱性情報が公開された場合、できるだけ早くアップデートする必要がある。ただし、利用しているサーバーの契約によっては、ウェブサイト運営者自身でアップデートできない場合があるので、ウェブサイト構築に当たり事前に契約内容を確認しておきたい。 また、ソフトウエアの脆弱性は、CMSや拡張機能だけに限った話ではない。OSやサーバーソフトウエアなどサーバーに組み込まれている全てのソフトウエアの脆弱性情報に注意する必要がある。

②認証を突破されないための対策をする

CMSの管理画面にアクセスするためには、必ず認証画面での認証が必要になる。認証を突破されないために、認証画面をインターネット上に公開しないよう設定を変更したり、認証画面を守るプラグインを導入したり、強固なパスワードを使用するようにしたい。

また、管理者の管理端末(PC)からの認証情報窃取にも気を付ける必要がある。管理端末へのウイルス対策ソフトの導入やソフトウエアの脆弱性対策を行い、フィッシングサイト(偽の認証画面)にアカウント情報を入力しないように注意してほしい。

CMSを用いたウェブサイト構築における情報セキュリティー対策の詳細は、独立行政法人情報処理推進機構(IPA)のウェブサイト(https://www.ipa.go.jp/security/)に掲載する技術資料を参考にしてほしい。

(独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 Vol.8 増大するスマホの脅威

独立行政法人情報処理推進機構・江島将和

スマートフォンは、従来の携帯電話端末と比較して高度な情報処理機能を持つ半面、十分なセキュリティー対策を実施していないと、情報漏えいなどの...

前の記事

中小企業のセキュリティー対策 Vol.6 経営者主導で効果実感

独立行政法人情報処理推進機構・江島将和

サイバー攻撃は他人事ではない テレビや新聞などでサイバー攻撃による情報漏えい事件などが報道されているが、これは大企業に限った話ではない。...

関連記事

中小企業のセキュリティー対策 vol.51 被害防止へ対応事例紹介

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は5月31日、「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け...

中小企業のセキュリティー対策 vol.50 サイバーセキュリティ お助け隊サービス始動

独立行政法人情報処理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は、企業間サプライチェーン全体のサイバーセキュリティー対策強化の必要性の下、中小企業のサイ...

中小企業のセキュリティー対策 vol.49 内部不正による 情報漏えい減少せず

独立行政法人情報処理推進機構・江島将和

近年、企業の技術情報を同業他社や海外企業に不正に持ち出した事案が相次いで報道され、営業秘密の保護強化が課題となっている。そこで、独立行政...