[NEWS/22/9/21]サイト改ざん…中小企業はリスクが低い？いえいえ…

Podcast: Embed

Webで購読する Apple Podcasts | Spotify | Amazon Music | Pandora | RSS | More

ラウンドナップWebコンサルティングの中山陽平です。今回は、Webサイト改ざんや乗っ取りは大企業だけの問題ではない、という話です。ニュースになるのは大きな組織の被害が多いですが、実際には小さな会社や放置されたサイトも十分に狙われています。だからこそ「うちはそこまで狙われないだろう」という感覚をまず捨てることが出発点になります。

このPodcast/書き起こしで得られること（要点）

• 中小企業でもサイト改ざんや乗っ取りの対象になる理由が分かる
• 被害の出方が見えにくいケースを具体的にイメージできる
• 現実的に取りやすい予防策の優先順位を整理できる

狙われるのは有名企業だけではない

多くの人は、ハッキングやクラッキングは大企業や自治体のような目立つ組織が対象だと考えがちです。ですが実際には、ホームページを持っていれば規模に関係なく狙われます。違うのは、ニュースになるかどうかだけです。

小規模な会社の被害は表に出ないまま終わることも多く、相談ベースで見ると決して珍しくありません。つまり中小企業ほど安全というより、見えていないだけで近くにある問題と捉えたほうが実態に近いです。

気づきにくい被害の怖さ

やっかいなのは、見た目が大きく壊れないまま悪用されるケースです。たとえばメールサーバーが踏み台にされ、フィッシングメールや不審なメールが大量送信される。少しずつ使われていると、エラー通知がたまに返ってくる程度で見過ごしてしまうことがあります。

また、放置された CMS や古いプログラムを入口に、サイトを書き換えられて別のコンテンツに差し替えられることもあります。フィッシング、広告目的、バックリンク狙いなど、目的はさまざまですが、どれも「自分のサイトが他人の都合で使われる」点では同じです。

まず押さえるべき対策

現実的な対策としてまず重要なのは、セキュリティ対応がしっかりしたレンタルサーバーを選ぶことです。怪しい挙動を検知したり、国外からの大量アクセスを遮断したり、明らかな乗っ取り時に止めてくれるような仕組みがあるかどうかで、被害の広がり方は変わります。

もう一段きちんとやるなら、サーバー監視や保守のサービスを別途契約する方法があります。書き換えや不審アクセス、メール送信の異常を見てもらえるだけでも、自社だけで気づけない事故を拾いやすくなります。

コストを抑えるなら攻撃面を減らす

もし予算的にそこまで難しい場合は、そもそもプログラムを置かない方向も有効です。古い WordPress や CGI など、管理されていないプログラムは入口になりやすいからです。静的な HTML を中心にし、フォームも外部サービスを使えば、攻撃される面はかなり減ります。

もちろんそれで自由度は下がります。だから理想は便利な仕組みを捨てることではなく、管理するか、管理してくれる環境を選ぶことです。安さだけでサーバーを決めると、この部分が後から重く効いてきます。

まとめ：対岸の火事と思わないことが第一歩

サイト改ざんや乗っ取りは、規模の大きな会社だけの問題ではありません。むしろ中小企業や放置サイトのほうが、静かに悪用されている可能性があります。だから最初に持つべきなのは危機感です。そのうえで、守ってくれるサーバーを選ぶ、監視を頼む、不要なプログラムを置かないといった現実的な対策を積み上げる。特別な会社だけがやる話ではなく、普通のホームページ運営に含めて考えるべきテーマです。

配信スタンド

• Apple iTunes 公式ストア Podcast（おすすめ）
  https://itunes.apple.com/jp/podcast/zhong-shan-yang-pingno-non/id750899892
• GooglePodcast
  http://bit.ly/google-podcast-jp
• Spotify
  https://open.spotify.com/show/0K4rlDgsDCWM6lV2CJj4Mj
• Amazon Music
  Amazon Podcasts

■Podcast /Webinar への質問は

こちらのフォームへどうぞ。
https://forms.gle/Lvy4nVauyJ2SRhJM7

運営・進行

株式会社ラウンドナップ（ラウンドナップWebコンサルティング）

代表取締役・コンサルタント　中山陽平

Webサイト：https://roundup-inc.co.jp/