今回の話題は、セキュリティについて。Web戦略をどれだけ緻密に作り上げても、Webマーケティングをどれだけ頑張っても、もし何か大きなインシデントが起きれば全ては水の泡になってしまうかもしれません。
また、WebもITも基本は同じ物。Webについてスキルアップしていくなら、合わせてIT全般についてもフォローアップしていくと、効率も良いですし、システム面などの知識が増えてくれば情シス側とのコミュニケーションもぐっと楽になります。
なので、今回はセキュリティの話題です。
過去のPodcastの内容を再構成しています。
以下のニュースでは「北九州市買い物応援ウェブサイト」が標的になったとあります。国の保険福祉局地域福祉推進課が管理するもので、一般的なレンタルサーバーを使って運営されていました。そのウェブサイトに、いかがわしいサイトへのリンクが貼られていたということです。
状況からは、ただのバックリンク狙いなのか?でもこんな即バレするところに貼るか?SEO目的としても不自然では?純粋にサイト誘導か?とも思いますが、ともかく管理画面に入られていじられたのでしょう。フィッシングなどではなさそうで、意図は計りかねます。
大企業だけ狙われる時代ではない
ハッキングやクラッキングは、大企業やグローバル企業が狙われるものだと思われているかもしれません。
そう思ってしまうのは、ニュースになるのは大企業だけだからでしょう。しかし実際には、小規模事業者や中小企業でもハッキングやクラッキングされ、マルウェアによるウェブサイトの乗っ取りが起こっていることが少なくありません。どのような大きな企業であろうと、中規模の企業であろうと、ほとんどの企業のウェブサイトは狙われる可能性があるんです。
実際、セキュリティ専門会社では全くない弊社であっても、相談されることがあります。セキュリティ専門会社には結構な数の相談が来ているのでは?つながりがないので実数が分かりませんが…。
実際はこのように気づきやすい形で利用されているケースより、気づかないように利用されているケースが多いでしょう。
信用毀損や責任問題になる
よくあるのは、メールの大量送信の踏み台。
例えば、レンタルサーバーのメールサーバーが乗っ取られるか、パスワード漏えいなどで、悪意のある第三者により外部利用されて、皆さんのサーバ経由で、何万件というウィルスメールが発信されることがあります。踏み台とも言われますね。
そのようなメールは、フィッシングやマルウェアが仕込まれたようなサイトに誘導するものであり、被害が拡大しやすく、責任問題にもなりかねません。Emotetのように自社のアドレス帳ごと乗っ取られると、取引先へ自社名義でウイルスメールが飛びますから、信用毀損にも繋がります。
ランサムウェアで業務がストップ
ランサムウェアによって業務が出来なくなることもあります。この辺りは別の記事をご覧下さい。
- [TOPIC/22/10/25]サイバー攻撃を過去1年に受けた企業は◯社に1社もある?
https://roundup-inc.co.jp/nakayama/podcasts/podcasts-15455/ - 第319回:マーケで作った信用資産を失わないためのEmotet対策
https://roundup-inc.co.jp/nakayama/podcasts/vol319_tyusyo-emotet/
全く違うサイトにすげ替えられていることも
また、放置されているウェブサイトによくあることですが、ウェブサーバーが乗っ取られていて全く無関係のホームページに菅変わることもあります。
フィッシングサイトに使われることもあれば、他のところからパクってきたコンテンツがサイトの中に埋め込まれているケースもあります。作ったまま放置しているグループやサークル、個人の放置されたページがこうなっているケースが多いです。
目的としては、フィッシングかもしれませんし、あるいは、最近は減っていますが、バックリンクを得るために作っているようなもの、または、アドセンスやその他の広告に誘導するようなサイトを目的として、広告のクリック数を増やすようなものなど、いろんな理由が考えられます。
サイバー攻撃を避ける可能性をあげるには
レンタルサーバは慎重に選ぶ
では、どうすれば、攻撃を避けられるのか、また、どうすれば、攻撃を見つけることができるのか。
第一には、きちんと対策が施されているサーバ会社を選ぶことでしょう。
セキュリティに強いレンタルサーバーを借りだけでも違います。特にWordpressやMovableTypeなどCMSを使っている場合は。海外からのXML-RPC接続を拒否できたり、海外IPログインを弾いてくれたり、様々なセキュリティ機能を使えるようにしてくれている所がお勧めです。
そういうところは、値段が最安や格安にはなりませんが、そもそもビジネスでサーバ代は価格で決めるべきではありません。安いサーバはセキュリティ機能が薄い以外でも、速度面など他の所でも問題が起きがちです。インフラにはお金をかけた方が良いです、とはいっても私のお勧めサーバでも月額2,000円行きません。
また、保守管理会社を使うとより安心です。餅は餅屋です。
危ない物は極力おかない
可能な限り弱点となるようなプログラムを置かないことも大切です。フォームだけは昔からのCGIを使っているようケースもありますよね。これも、そろそろクラウド型のフォームなどに載せ換えても良いかもしれません。
クラッキングは、例えば、WordPressや管理されていない古いWordPress、Webアプリケーションや自作WebAppなどから入ることが多いです。(サーバ会社側の脆弱性のケースもありますが)
Webサイトの作り方についてだけ言えば、昔ながらの普通のHTMLで作られたサイトであれば、かなりハッキングされる可能性が低くなります。
管理されていないCMSは危険です。WordPressは安全性が課題になりがちですが、それはMovableTypeのような有名所でも、ややマイナーなDrupalやEC-cubeなどでも大差ありません。
とは言えCMSなどが便利なのも事実です。プラスとマイナスを考える必要があります。十把一絡げに便利な物を拒否するのは損です。そこはご留意下さい。
終わりに
セキュリティ問題は、対岸の火事ではありません。今回は触れませんでしたが、USBメモリや添付ファイル。
さらに、パソコンをあまり使わないことも、セキュリティリスクを低減する一つの手段として有力です。特に、iOSを搭載したiPhoneやiPadなどは、パソコンと比べてリスクが低いため、基本的にはそれらを使うことで、セキュリティ面での楽さも感じるかもしれません。
現実的ではない部分もあるかもしれませんが、スマホで出来ることもずいぶん増えていますので、考える価値はあるのではないでしょうか。
中小企業・小規模事業者の方々に向けて、ウェブの活用やホームページの戦略などについてWebコンサルティング、施策代行実施などを行っている、株式会社ラウンドナップ代表取締役の中山陽平です。中小企業のWeb活用をサポートし、そこからの反響獲得を実現させています。→プロフィール詳細はこちらから
