Webサイトのセキュリティに関しては約10年以上も前から議論されているものの、残念ながら現在も問題になっています。JPCERT/CC に報告があった件数で2013年7,409件、2014年で3,592件と減っているものの、依然被害が続いているのが現状です。

Webサイトの構築の際に、最近はCMS (Content Management System)を使用する事例が増えています。CMSを使用することで、サイトの構築コストや運用コストを下げたうえで、コーポレートサイトやECサイトなど様々なWebサイト作成することが可能になります。

しかしながら、CMSで作成したWebサイトが増えてくる一方で、CMS で作成したWebサイトが攻撃される事例が目立っています。「作ってしまってそれでハイ終わり！」というサイトが、CMSや関連ソフトウェアのアップデートが行われずに、脆弱性がある状態のままになってしまい、攻撃を受けるということがあります。

特にCMS を使った場合ある機能や関連ソフトウェアに脆弱性が見つかったら他のサイトも攻撃できる、特に人気のソフトウェアは多くのユーザが使用しているので、攻撃者にとっては絶好の餌になってしまいます。

このような攻撃により、Webサイトが改ざんされると、見た目を変えられる事例だけではなく、標的型攻撃などで使用されるマルウェアや、マルウェアと通信するプログラムを入れられるなど、第二第三の被害が発生してしまい、攻撃インフラとして使用されることもあります。

 

大手の企業が運営するサイトですと、専門の業者に相談してセキュリティ診断をしてくださいと言えるのですが、地方の小さい企業では、セキュリティ対策に予算を割けられないと言うのが現状です。私達はもともと神戸でセキュリティ診断をやっておりますので、地方の企業の方と話す機会が多いのですが、私達が提供するようなセキュリティ診断に予算を割けられないと言われる場合も少なくありません。

このようなサイトでも、攻撃の対象になることが多く、攻撃されてしまう例があります。中には、改ざん後の対応が根本的なものではなく、同じような手法で再度改ざんされてしまう例もあります。実際、改ざん事故が急増しはじめたころ、弊社のお客様も2社被害にあわれました。何れもソフトウェアのアップデートを適切に行っていなかった、その運用コストをかけられなかったことが原因です。

 

予算をかけることがセキュリティではなく、最低限の対策を確実にすることが必要です。例えば前述のCMSを使用したWebサイトの例ではシステムで利用しているパスワードを使いまわしていなく強固なものにする、使用しているソフトウェアを最新のものにするだけで攻撃への影響は大きく軽減されます。なので、できる範囲での対策を検討して頂くことが最大の対策であることが考えられます。

このような攻撃はいつ自分の身に降ってくるかわかりません。まずは、自組織の守るべき資産を洗い出し、リスクを明確にすることで、適切なセキュリティ対策が何なのかを検討されることをお勧めします。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。