【超初心者向け】ホームページのセキュリティにおける運用のポイント

はじめに

ホームページを作る上で、セキュリティのお話は、非常に重要なポイントです。

ただ、おそらく、皆さんはそこまでホームページのセキュリティについては、関心が無いと思います。

本当にそれで良いのでしょうか？

 

 

皆さん、パソコンにウイルスソフトはインストールしておられますでしょうか。

多くの方は、もっておられるパソコンの情報については、流出に対して対策を行っておられると思います。

ホームページもパソコンと同じ様に、情報漏洩が起こることがあります。

特に、ホームページ上で、顧客情報を持っておられたり、ネットショップを運営されておられる会社は特に注意が必要です。

 

インターネットの世界では、パソコンとパソコンがネットワークでつながっており、何処からでもアクセスできる状態になっています。

しかし、サイトに来る人のほとんどは、閲覧することだけができるドアだけを通ってくるので、サイトを見て、帰っていきます。

 

ただし、サイトを乗っ取ろうと考えている人は、閲覧することだけができるドアだけではなく、別のドア、例えば勝手口や、窓などの鍵が空いていないか？

閲覧することができるドアの中でも、壁の薄いところはないか？他の通路につながっている隠し通路がないかを探しにきます

実際、家に侵入しようとする、泥棒と同じような動きですね。

 

他にも、手法はたくさんありますが、上記の様にある目的を持ってあなたのホームページへ訪れてきます。

 

インターネットのたちの悪いところは、侵入口を調べるたりすることを、自動でもできてしまうところです。

次から次へと、ホームページを移動していき、どんどん数をこなしていくことで、セキュリティ意識の低いホームページに侵入して、悪さを行います。

 

そういった、インターネット上のサイバー攻撃は、昨今では、1サイト（※）につき、年間で約79万件パケット（1パケット=128バイトのデータ量）にも増えているようです。

※ 1サイト=1IPとしたとき

出典：NICTER観測レポート2018の公開

 

本当に、何も対策を行わなくて、大丈夫でしょうか？

ホームページを任せている会社は、本当にセキュリティの対策を行えているのでしょうか？

 

皆さん自身が、セキュリティの意識を高めていくことが一つ対策になると思います。

最後に、ホームページのセキュリティチェックリストを公開しておりますので、ぜひ最後まで読んでいってください。

 

ホームページが乗っ取られると、何が起こるのか？

では、ホームページに侵入されて乗っ取られると何が起こるのか？具体的に見ていきましょう。

まず、侵入したいと思っているユーザーは、何を目的としているのか？

大きく分けると、下記のような目的を持って、ホームページを攻撃してきます。

 

 

1. ホームページの破壊（妨害）目的

皆さんがよく知っている、F5アタックと呼ばれるような、集中的にホームページにアクセスを行うこと（DoS攻撃・DDoS攻撃）で、サイトの閲覧ができなくすることが代表されます。

サイトの破壊や、停止を目的としており、特定の会社や政府機関などを対象にするケースもあれば、サーバーへ不正にアクセスしてサイト自体を閲覧不能にするケースなどがあります。

 

2. ホームページの改ざん

ホームページは、サーバーと呼ばれる、みなさんが持っているPCのようなところに入っています。

そこで利用されているサーバーや、ソフトなどに含まれるバグ（不具合）などから、サイトに侵入してくることがあります。

また、パスワードを簡単なものに設定していることで、認証を突破されてしまうことがります。

そうすると、ホームページが書き換えられてしまうことがあります。

最近ではよく、社会的だったり、政治的な思想を持ったグループが政府機関や、企業のホームページを書き換えられたというニュースも見ることがあります。

他にも、ホームページに来た人にウイルスをばら撒くと言ったウイルスの感染源を仕込まれたり、ホームページを見た人を強制的に海外のサイトへ移動させるような罠を仕込むケースなども見られます。

 

3. ホームページの情報を盗み出す

前項のように、バグや簡単なパスワードのユーザーを狙った攻撃などからホームページに侵入することで、ホームページ上の顧客情報などを取得することを目的とする攻撃です。

また、たくさんのユーザーが利用しているサービスと同じようなホームページを作り、そのサイトへ、メールなどから誘導することで、気づかないユーザーがログインしようとした際に、その情報を盗み出す方法などもございます。

また、ウイルスに侵されたパソコンから、攻撃者に情報を伝え続けるケースなどもございます。

攻撃者は、上記を持って攻撃してきますが、さらに先の目的として、下記のような考えを持っています。

• 金銭目的
• 私怨のため
• 政治、社会的なメッセージの発信
• 愉快犯、自己顕示

特に、多いのは金銭目的だと思います。

例えば、サイト停止や、情報を人質にして、金銭を求めるケースだったり、偽サイトに誘導し、送金処理を行わせたり、ウイルスで同様のことをするケースなどが挙げられます。

 

ホームページのセキュリティを高めるためのポイント

では、ホームページのセキュリティを高めるためには、何をすればよいのでしょうか？

一番、気をつけるポイントは、パスワードを複雑にするということです。

経験上、ホームページへの攻撃が成功されてしまった例は、パスワードがかなり簡易なものになっていたことが多いと思います。

もちろん運用上は、楽になるかもしれませんが、それだけリスクの高いことだと認識していただきたいです。

また、パスワードをメールで送ったりすることも、リスクを高める行為ですので、注意しましょう。

他には、ホームページで利用しているソフトウェアを最新の状態にしておくことです。

こちらも経験上、Wordpressを利用したホームページがよく狙われる傾向にあると思います。

ただし、Wordpress自体がダメということではなく、古いバージョンのままで置いてあったり、最低限の対策を行っていないため、攻撃が成功してしまうケースが見られます。

WordPressの本体のアップデートはもちろんのこと、プラグインのアップデートについても注意を図ることが重要です。

 

自分の会社のホームページは大丈夫！？セキュリティのチェックポイント

それでは、知識の少ない方でも、ご自身のホームページがセキュリティ的にどうなのか？

最低限のチェックができるチェックリストを下記に記載いたします。

ご自身のホームページは、安全なのか？一度チェックしてみてください。

 

 

• パスワードは、大文字小文字アルファベットと数字、更には記号などが利用されているか？
• 利用しているサーバーのソフトウェアは、新しいものか？
  ※ わからない場合は、制作した会社へ確認下さい。
  もし、わからないなどの対応があった場合は、注意が必要です。
• フォームやネットショップを利用している場合、SSLがサイトに入っているかどうか？
  SSLとは？ → WEBサイトをSSL化して現代にあった安全なサイトの運用を
• WordPressを利用しているか？
  Wordpressを利用しているか判断できるツール → IS IT WORDPRESS?
• WordPressを利用している場合、バージョンは最新に保たれているか？
• WordPressを利用している場合、プラグインは最新に保たれているか？
• WordPressを利用している場合、セキュリティ系のプラグインは、入っているか？

 

これらのチェックリストのうち、専門知識がないと、わからないものもございます。

そういった場合は、ホームページを作った制作会社にお聞き下さい。

 

もしくは、弊社でも、確認が可能ですので、お気軽にお問い合わせ下さい。

 

まとめ

いかがでしょうか？

ホームページのセキュリティについては、あまり気にかけられず、ないがしろにされることが多くございます。

ホームページの制作会社にまかせておけば大丈夫、と思っておられる方も、このあたりの知識を持っている制作会社が少ないことも現状としてございますので、注意が必要です。

 

もし、少しでも不安があれば、弊社でも御社のホームページのセキュリティチェックさせていただきますので、お気軽にご相談ください。

 

皆さんのホームページが、問題なく、運用され続ける状態を目指していきましょう。