企業のサイトがサイバー攻撃されてアクセスできなくなったり、
顧客情報が漏洩したというようなニュースを耳にすることがあると思います。

 

このような被害を受けるのは大企業がメインターゲットとなっていましたが、
近年では中小企業へとシフトしています。
「ウチの会社は大丈夫」という考え方では大きな損害を受けるばかりか、関連企業へ被害を拡大する可能性もあります。

 

今回は、サイバー攻撃の実際の被害例や、攻撃の種類、セキュリティ対策について解説します。

 

 

サイバー攻撃は中小企業がターゲットに

大企業のホームページのセキュリティ対策は強固にされている場合が多いため、
サイバー攻撃を行うハッカーなどは、中小企業をターゲットにすることが少なくありません。

 

中小企業が踏み台に

攻撃者が、中小企業のホームページをターゲットにするのは、
大企業への攻撃の踏み台にするという目的があります。

 

大企業への攻撃はリスクが高く、セキュリティの壁の突破が困難であるため、
セキュリティの甘い中小企業を狙う方が効率が良いのです。

 

ターゲットとなる大企業と繋がりのある中小企業のホームページを攻撃し、
大企業へ偽のメールを送信し、送金を促すようなケースが実際に起きました。

 

 

企業へのダメージ

サイバー攻撃によりホームページが表示されないという状況に陥ると、
商品やサービスを調べたり、購入したりすることができず売上が低下する場合もあります。

 

また、ホームページは企業の顔ですから、
閲覧できない状態となると信用を失うことにも繋がります。
その場合には一時的な損失だけでは済まなくなってしまいます。

 

 

サイバー攻撃の被害例

実際に攻撃を経験したことがなく、被害がどのような内容なのかをイメージができないことが、対策に乗り出さない要因のひとつです。

実例を見ると危機感が強くなり、対策の必要性を感じることができます。

 

主な被害例は下記の３つです。

 

• 情報漏洩
• 改ざん・ダウン
• マルウェア感染

 

情報漏洩

最も重大な被害を与えるのが情報漏洩です。
不正アクセスや、悪意あるプログラムを埋め込み、顧客の個人情報を流出させる可能性があります。

 

個人情報の保護は企業において最も重視すべきことのひとつです。
サイバー攻撃により、個人情報を流出をさせてしまった場合、企業に対する信用が失われ、これまでの顧客との取引も失われる可能性があります。

 

また、個人情報だけでなく企業間のやり取りに関する情報が流出した場合には、
取引先からの信用を失うこととなり、取引の継続もなくなる可能性があります。

 

 

改ざん・ダウン

改ざんとは、知らず知らずのうちにホームページの内容が書き換えられてしまう被害です。
改ざんの内容によっては、ユーザーに不快感を与え、企業の信用の低下を招きます。

 

被害の内容は、ユーザーに対して間違った情報を提供してしまったり、
入金先の情報を書き換えられ、お金を奪われるという事例があります。

 

また、ホームページがダウンしてしまい閲覧できなくなると、
問合せや、商品購入といった機会損失につながります。

 

 

マルウェア感染

マルウェアとは、一般的にコンピューターウイルスと呼ばれるプログラムの総称です。
有名はマルウェアには、「トロイの木馬」や「ワーム」「スパイウェア」などがあります。

 

近年ではホームページにマルウェアを仕込む攻撃が増加しています。
感染してしまうと、さまざまな不具合が発生し、ホームページの更新ができなくなる場合もあります。

 

また、ブラウザの情報を書き換えるマルウェアも存在し、ユーザーを別サイトに誘導するものもあります。
機会損失だけでなく、企業の信頼低下にもつながります。

 

 

サイバー攻撃の種類

サイバー攻撃にはさまざまな手口が存在し、インターネットの普及により年々複雑で巧妙になっています。
企業はこれらに対して、常に最新の対策を行う必要があります。

 

さまざまな種類のサイバー攻撃について、
どのようなものがあるのか把握しておきましょう。
代表的な攻撃は以下のようなものがあります。

 

• SQLインジェクション
• クロスサイトスクリプティング（XSS）
• DoS攻撃・DDoS攻撃
• ブルートフォースアタック
• ゼロデイ攻撃
• ポートスキャン

 

SQLインジェクション

ホームページの弱点（脆弱性）をつき、SQL（データベースを操作する言語）を用いて、
データベースから個人情報を窃取したり、データ改ざんを行うサイバー攻撃です。

 

 

データベースとは、名前の通りデータの保管場所です。
ホームページはデータベースから情報を取得し表示しています。
特にログインを要するサイトでは、ログイン情報に紐づいた情報がデータベースから取得されて表示されます。

 

 

SQLとは、データベースに命令を出すための言語です。
データベースから情報を抽出し表示をさせるために使われる世界共通の言語です。

 

 

SQLインジェクションの流れは以下の通りです。

 

1. ホームページの入力フォーム（ログインフォーム、問合せフォーム、検索窓など）に「SQL文」を入力し送信
2. 「データベース」で「SQL文」の命令が実行される
3. 「データベース」からホームページへ、「SQL文」の命令の実行結果が返される
4. 情報を取得、改ざん、削除する

 

SQL文で「全ユーザーのログインIDとパスワードを取得してこい」という命令を書けば、
データベースから情報が取得され、攻撃者に情報が盗まれるという流れです。

 

 

クロスサイトスクリプティング（XSS）

ホームページのセキュリティ上の欠陥をつき不正なスクリプトを埋め込み、
ホームページを閲覧したユーザーにスクリプトを実行させ、偽サイトなどの誘導し、
個人情報などの入力を促し情報を盗むサイバー攻撃です。

 

 

スクリプトとは、簡易的なプログラムです。
例えば、誰もが書き込み可能なコメント蘭などが存在するページに、コメントとしてスクリプトが仕込まれます。

 

 

スクリプトの例は、
「この投稿を見た人限定！応募者全員に１０万円プレゼント！」などのテキスト
[応募する]ボタン
このボタンをクリックすると、偽サイトへ遷移させる
というような内容がプログラムとして書かれます。

偽サイトでは、「必要な情報を入力してください」というフォームなどが設置されていて、
ここに個人情報を入力し[送信]してしまうと、攻撃者に入力した情報が送信されてしまいます。

 

 

DoS攻撃・DDoS攻撃（ドスコウゲキ・ディードスコウゲキ）

DoS攻撃とは、大量のデータをターゲットとなるホームページに送りつけるサイバー攻撃です。
DDoS攻撃は、データの発信元が複数に分散されているDoS攻撃を意味します。

 

大量のデータが送り付けられるとホームページを保管しているサーバーがデータの処理をしきれなくなり、
ダウンしてしまいホームページにアクセスできなかったり、表示が極端に遅くなるという被害が出ます。

 

 

ブルートフォースアタック

ブルートフォース（Brute-force）には「力任せ」「強引な」という意味で、「総当たり攻撃」を意味します。
IDやパスワードなどの暗号を全パターン入力して突破する攻撃です。

 

非常に単純な方法ですが、時間をかければ必ず正解を導き出せるため強力な攻撃となります。

 

ブルートフォースアタックでID・パスワードが盗まれると、ホームページの内容の改ざん、顧客情報の窃取などの被害が出ます。
また、SNSやショッピングサイトの情報が盗まれた場合には、
ネットバンキング、クレジットカードの情報も漏洩する可能性があり、金銭的な被害を受けることもあります。

 

 

ゼロデイ攻撃

アプリケーションやソフトウェアは、完璧な状態でリリースされているように見えますが、完璧なものは存在しません。
プログラムには「脆弱性」が存在し、その部分を補填する形で「パッチ」という修正が公開、適用されます。

 

このパッチが適用されるためには、制作者側が脆弱性をいち早く発見する必要がありますが、
その発見より先に悪意ある攻撃者が、脆弱性を発見し攻撃を仕掛けることをゼロデイ攻撃と呼びます。

 

この脆弱性の発見と対策に1日を要することがあれば、ゼロデイ攻撃を受けてしまい、大惨事につながると言われています。
つまり、リリーズした当日＝リリースから０日（ゼロデイ）のうちに攻撃されることから、ゼロデイ攻撃と呼ばれています。

 

 

ポートスキャン

ポートスキャンは、あらゆる攻撃の前兆となる下調べのような行為です。

 

パソコンはモデムに接続され、そのポートを介してネットワークとつながります。
ポートには役割ごとに番号が割り当てられています。
このポートをスキャンすることで、どこから攻撃が仕掛ければ侵入しやすいかを調べるために行われるのが、ポートスキャンです。

 

 

すぐにできるセキュリティ対策

セキュリティー対策は難しく費用がかかるイメージですが、すぐに行える対策もあります。
まずはできることから対策していきましょう。
代表的な対策はいかになります。

 

1. プログラムの削除
   
2. アップデート
3. アカウント管理
4. パスワード
5. アカウント権限
6. SSL化
7. reCAPTCHAの設置

 

1.プログラムの削除

今は使っていないものや、旧担当者が使っていてよくわからないが入ったままになっているプログラムなどを、
削除していいものかわからずに放置している場合があるかと思います。

 

置いておいても特に支障はないと放置してしまいがちですが、
そのプログラムの脆弱性を突かれ、攻撃の足掛かりにされる可能性があります。
不要なプログラムは削除し必要最低限にしておくことでセキュリティ対策となります。

 

 

2.アップデート

システムやプログラムは脆弱性への対策や、セキュリティの強化が日々行われています。
常に最新の状態となるようにこまめにアップデートを行いましょう。

 

ホームページがWordPressで構築されている場合には、
WordPressのバージョンアップ、テーマのアップデート、プラグインの更新を確実に行いましょう。
自動更新に設定しておくと更新の手間も省けます。

 

 

3.アカウント管理

使っていないアカウントや、テストアカウントなどを放置せずに不要な場合は削除しましょう。

 

例えば、テストアカウントだからと簡易的なパスワードを設定し、放置しておいた場合には、
そのアカウント情報が漏洩し、システムや管理画面にログインされてしまう可能性もあります。

 

 

4.パスワード

パスワードは12桁以上で、英数字や記号も取り入れて設定しましょう。

 

近年ではAIの進歩によりパスワードの解析が容易になり、
短時間で解析されてしまう可能性が高まっています。

 

ブルートフォースアタックのような手法をとればいつかは正解に辿り着きます。
しかし、パスワードを長く、複雑なものにしておけば、現実的でない時間を要することになります。

 

 

5.アカウント権限

ホームページにログインするアカウントが複数ある場合には、アカウントごとに権限を分けましょう。
全てのアカウントに管理者権限などをつけて、全ての情報へのアクセスが可能な状態にならないように注意が必要です。

 

WordPressで構築されたホームページの場合、
アカウントの権限は、管理者・編集者・投稿者・寄稿者・購読者に分かれており、
アクセスできる範囲や機能が制限されます。
管理者の権限を持つアカウントが多ければ多いほど、サイトの改ざんなどのリスクが高まります。

 

 

6.SSL化

ホームページをSSL化することで通信を暗号化し保護することができます。

 

ホームページのURLが「http」から始まる場合には、SSL化されていない状態です。
SSL化されている場合は、「https」となります。

 

ブラウザによっては、SSL化されていないサイトへアクセスするとアラートが表示される場合もありますので、
セキュリティに加えてユーザーの信頼度低下も招きますから、必ず設定しましょう。

 

SSL化について詳しくは下記のページを参照ください。

https://web-design-pro.com/blog/news-column-post/364

 

 

7.reCAPTCHAの設置

お問合せフォームなどホームページに設置してあるフォーム関連の機能には、
Googleが提供するロボット対策ツール「reCAPTCHA」を設定しましょう。

 

最新のreCAPTCHA v3では、ロボットか人間かを自動で判断できるようになっています。
以前のバージョンでは「私はロボットではありません」のチェックボックスへのチェックや、
「信号機の画像を全て選択してください」などの画像の選択が必要でしたが、
その手間が省かれ、ユーザーの離脱を心配することなくセキュリティを高めることができます。

 

 

強力なセキュリティ対策

セキュリティ対策にはさまざまな方法がありますが、代表的なものは以下の３つです。

 

• ファイアウォール
• IPS
• WAF

 

ファイアウォール

ファイアウォールは、あらかじめ設定しておいた条件に応じて、ネットワークからの通信を制限する機能です。

 

不正アクセスの検知が可能で、アクセス履歴のログを残すことができます。
ログをチェックをすることで不正アクセスの状況を確認することも可能で、
ポートスキャンの対策として有効な手段となります。

 

ファイアウォールはセキュリティ対策の基本として必ず設定するようにしましょう。

 

 

IPS

IPSとはIntrusion Prevention Systemの略称で、ネットワークやデバイスへの通信を監視し、
侵入の兆候を検知・遮断し、不正なアクセスを防止するシステムです。

 

IPSはDoS攻撃に対しても有効な手段です。
悪意ある侵入を検知し、通信をシャットダウンできます。
ファイアウォールと組み合わせることで、セキュリティを向上させることができます。

 

 

WAF（ワフ）

WAF（ワフ）とはWeb Application Firewallの略称で、
Webアプリケーションの脆弱性を突いた攻撃を検知し遮断しホームページを守るためのセキュリティ対策です。

 

ファイアウォール、IPSでは防ぎきれない、
SQLインジェクションやクロスサイトスクリプティングに対して効果があります。

 

 

WordPressで構築のホームページのセキュリティ対策

拡張性があり、専門知識がなくとも更新作業を行えるWordPressは、世界中の多くの企業のホームページで導入されています。
WordPressでのセキュリティ対策は以下の項目があります。

 

1. WordPress・プラグインのアップデート
2. セキュリティ系プラグインの導入
3. 不要なプラグインの削除

 

1.WordPress・プラグインのアップデート

WordPressは、頻繁に新たなバージョンがリリースされています。
システムを進化させることで、ユーザーをサイバー攻撃の被害から守っています。
WordPressは常に新バージョンへアップデートして利用しましょう。

 

また、WordPressには豊富なプラグインがあります。
ホームページの様々な機能はプラグインを利用して構築されていますから、
プラグインのアップデートも忘れずに行いましょう。

 

 

2.セキュリティ系プラグインの導入

WordPressには多くのセキュリティ系プラグインがあります。
代表的なものは以下になります。

 

• SiteGuard WP Plugin：
  ログイン・管理画面のセキュリティを強化し、ブルートフォース攻撃などに効果あり
  日本企業がリリースしており日本語に対応している
• All In One WP Security & Firewall
  プラグインをインストールするだけで、様々なセキュリティ機能を実装できる
  サイトのセキュリティ強度を測定し安全性が可視化される
• Wordfence Security
  ファイアウォールとマルウェアスキャナーが搭載されている
  2ファクタ認証などが設定可能
  インストールすると自動でファイアウォールを有効化する
  無料版は30日まで、その後は有料
• BulletProof Security
  基本的なセキュリティ対策を網羅
  無料版・有料版あり
• iThemes Security
  WordPressの脆弱性のチェック機能
  脆弱性を突いた攻撃へのセキュリティ機能が備わる
  日本語対応あり

 

 

3.不要なプラグインの削除

プラグインの数が多いことは、サイバー攻撃の入り口が多いということを意味します。
プラグイン自体の更新が止まっている場合もあるのため、そのようなプラグインは削除するか、
他のプラグインでの代用を検討しましょう。

 

また、インストールして使っていないプラグインについても、
脆弱性の原因となるため削除しておきましょう。

 

 

まとめ

ホームページのセキュリティ対策について紹介しました。

 

攻撃者はホームページの脆弱性を突いて攻撃を仕掛けます。
もし、あなたの会社のホームページの脆弱性を突かれてマルウェアに感染してしまえば、
取引先や仕入先へ被害を拡大する可能性があります。
攻撃者はそれを狙ってターゲットを選定している場合もあります。

 

セキュリティ対策は自社の損害だけでは済まない重大な問題となってしまいます。

 

「うちの会社は大丈夫」ということは絶対にありません。
すぎにできる対策から行っていきましょう。