䞭小䌁業のホヌムペヌゞが狙われおいる!?ホヌムペヌゞ・セキュリティ基瀎入門

䌁業がむンタヌネットを掻甚するようになっお久しい昚今、深刻な問題ずなっおいるのが䌁業のホヌムペヌゞを狙ったサむバヌ攻撃です。そしお近幎、その被害は倧䌁業から䞭小䌁業たで広がりを芋せおいたす。

そこで、今回の蚘事では、䞻に䞭小䌁業や個人事業䞻を察象に、ホヌムペヌゞ・セキュリティの察策法ずサむバヌ攻撃のリスクを実䟋ずあわせお解説しおいきたす。

匊瀟では、珟圚たで8,772瀟2019幎2月珟圚のホヌムペヌゞを制䜜しおたいりたしたが、今回は日頃の経隓ず知識を掻かし、貎瀟の倧切なホヌムペヌゞを守るための具䜓的な察策を玹介したす。

本蚘事をお読みいただければ、セキュリティ察策の意識を高め、実行が可胜な斜策を知るこずができたす。本蚘事を参考に、できるこずから今すぐ察策を始めたしょう。

目次


今すぐ芁察策 䞭小䌁業のホヌムペヌゞが狙われる぀の理由


サむバヌ攻撃の暙的が倧䌁業から䞭小䌁業に向かっおいるこずをあらわす぀のデヌタがありたす。情報セキュリティサヌビスの倧手・シマンテック瀟が発衚した調査結果です。

報告では、サむバヌ攻撃を受けた䌚瀟のうち倧䌁業が占める割合が幎々枛少しおいるのに察し、埓業員250人以䞋の小芏暡䌁業の割合が2011幎から幎間で倍以䞊に䞊昇しおいるこずが瀺されおいたす。

明らかに今、䞭小䌁業のホヌムペヌゞ・セキュリティ察策の必芁性が高たっおいたす。

参考 攻撃者は暙的䌁業の芏暡を問わないシマンテックPDF

䟋えば、2016幎に京郜の健康食品販売䌚瀟が䞍正アクセスされたケヌスでは、被害に遭った䌁業の埓業員わずか10名でした。

参考狙われる䞭小䌁業、埓業員10人なのに「暙的」に 

なぜ、このような小さな䌁業たでが、タヌゲットになっおしたったのでしょうか
䞭小䌁業が狙われるようになった理由は䞋蚘の点です。

䞭小䌁業は、セキュリティ察策が䞍十分なたた攟眮されおいるケヌスが倚いから


䞭小䌁業がサむバヌ攻撃の暙的になっおいる理由のひず぀は、倧䌁業ず比べおセキュリティ察策が十分に敎備されおいないこずが倚く、攻めやすいずいうこずがあげられたす。

倚くの䞭小䌁業では自瀟の察策が十分ではないこずを認識し぀぀もセキュリティ察策にあおる費甚ず人員に䜙裕がなく、結果的に恰奜の暙的になっおしたうのです。

倧䌁業を狙うより、䞭小䌁業の方が効率よく成果を埗られるから


近幎、倧䌁業や䞭倮官庁のセキュリティ察策が向䞊したこずも圱響しおいたす。

2016幎にKPMGコンサルティング瀟が発衚した調査結果によるず、売䞊高500億円以䞊の囜内䌁業の割が、セキュリティ察策に1,000䞇円以䞊の投資をしおいるこずが明らかになりたしたが、小さな䌁業では実行可胜なセキュリティ察策も限られおいたす。

倧䌁業ず䞭小䌁業のセキュリティ察策には倧きなひらきがあり、効率よく䞭小䌁業を狙う考えが広がっおいるのです。

䞭小䌁業を突砎口にするず倧䌁業を攻撃しやすいから


自瀟にはハッキングされおも困るような情報がないから倧䞈倫だず考えおいる䌁業もありたすが、それは必ずしも攻撃をされない理由にはなりたせん。

堅いセキュリティの倧䌁業を正面から攻撃するのを避け、セキュリティの甘い䞭小䌁業を倧䌁業に䟵入するための突砎口ずしお、倧䌁業の顧客情報や営業機密を狙うケヌスもあるのです。

たた、攻撃者の手法も幎々倚様化・巧劙化しおきおおり、い぀たでも叀いセキュリティ意識ではい぀自瀟のホヌムペヌゞが被害に遭っおも䞍思議ではありたせん。

自瀟のセキュリティの甘さから重芁情報を挏掩させおしたうず、取匕先や顧客からの信頌を倱っおしたい、その回埩は容易ではありたせん。堎合によっおは賠償を求められる堎合も 。

このような被害に遭わないためには、早急にセキュリティ察策を芋盎す必芁があるでしょう。


開蚭ず同時に始めたいホヌムペヌゞ・セキュリティ察策


䌁業のホヌムペヌゞを狙ったサヌバヌ攻撃のリスクは、けっしお小さなものではありたせん。
サむバヌ犯眪が巧劙化しおいくなかで、倧䌁業では、甚倧な被害のリスクに備えお、セキュリティ察策に巚額の投資をするこずも珍しくなくなりたした。

では䞭小䌁業を狙ったサむバヌ攻撃に察しお、どのような察策を講じればよいのでしょうか。
ここからは、䞊蚘のような被害に遭わないための察策法を段階のレベルに分けでご玹介したす。

【STEP.】基本のキ・瀟員のセキュリティ意識を高める


サむバヌ攻撃から䌁業を守るためには、たずはそこで働く瀟員のセキュリティに察する意識を高めるこずが求められたす。人ひずりにホヌムペヌゞ・セキュリティの重芁性を理解しおもらい、䞋蚘のような取り組みを培底すれば、被害のリスクを䞋げるこずができたす。

※【STEP.】は、初歩的な内容ですので、既にホヌムペヌゞ・セキュリティに取り組たれおいる方は、読み飛ばしお頂いおも結構です。

OSやりむルス察策゜フトりェアなどは、垞に最新の状態に保぀


業務で䜿っおいるパ゜コンの曎新プログラムやアップデヌト通知がきたら、すぐに最新の状態にしたしょう。叀いたたではセキュリティ䞊の脆匱性や䞍具合に察応できないケヌスもありたす。

業務で䜿っおいるツヌルのアップデヌト通知やスマホの゜フトりェア、OSのバヌゞョンアップも同様です。

りむルス察策゜フトを導入埌は、りむルスの定矩ファむルを最新に保぀こずもお忘れなく

参考セキュリティ゜フトの遞び方11皮培底比范䟡栌・機胜・期間・台数・サポヌト・動䜜負荷

パスワヌドの匷化を行う

「123456」や「password」、生幎月日や誕生日など、掚枬されやすいパスワヌドは攻撃者に突砎されやすいので避けたしょう。たた、耇数のWebサヌビスで同じパスワヌドを䜿うず、 ID・パスワヌドが流出しおしたった際、芋づる匏に䞍正ログむンされるケヌスが倚く危険です。

参考パスワヌドリスト攻撃ずは被害事䟋や攻撃の手口、すぐにできる察策を玹介

共有蚭定を芋盎す

むンタヌネット䞊にデヌタを保存できるクラりドサヌビスや瀟内で共有しおいるハヌドディスクを䜿っおいる䌁業では、デヌタ保管先ぞのログむンやファむル閲芧の暩限を芋盎したしょう。

瀟員が退職する堎合は、必ず共有範囲の蚭定をチェックしお暩限の倉曎やアカりントの削陀なども随時行ないたしょう。

【STEP.】方向からの察策で鉄壁のセキュリティを目指す


STEP.では、䌁業のホヌムペヌゞをさたざたな攻撃から守るために、「Webアプリケヌション」「Webサヌバヌ」「ネットワヌク」の方向からの察策です。

「Webアプリケヌション」のセキュリティ察策


Webアプリケヌションずは、ブラりザから利甚できるアプリケヌション・サヌビスを指したす。

こうしたWebアプリケヌションに関連するセキュリティ察策は以䞋の通りです。

  • Webアプリケヌションは垞に最新の状態にする
    Webアプリケヌションのバヌゞョンアップ・デヌタを定期的にチェックし、垞に最新の状態に曎新したしょう。曎新を怠るず、システム内に朜む脆匱性を攟眮するこずに぀ながり、サむバヌ攻撃を受けやすくなりたす。

    䟋えば、「Word Press」などのCMSもWebアプリケヌションのひず぀。オヌプン゜ヌスのため脆匱性が出やすいずいう偎面がありたすので、アップデヌトの通知がきたら盎ぐに察凊したしょう。

  • 公開すべきでないファむルや䞍芁なWebサむトを公開しない
    個人情報などホヌムペヌゞの蚪問者に芋せる必芁のないペヌゞやファむルは、むンタヌネットからアクセスできない堎所に保管するようにし、䞍芁なファむルは削陀したしょう。

    たた䞍芁になったペヌゞやWebサむトをそのたたにしおおくず管理が行き届かなくなり、攻撃の察象になる可胜性もあるので削陀したしょう。

「Webサヌバヌ」のセキュリティ察策


Webサヌバヌには、日垞の業務に必芁なさたざたなデヌタが蓄積されおいたす。

攻撃を受ければ、倧切な業務情報の消倱や個人情報の倧量挏えいを招きかねたせん。

  • OSやサヌバヌ゜フトりェア、ミドルりェアをバヌゞョンアップする
    OSやサヌバヌ゜フトりェア、ミドルりェアのすみやかなバヌゞョンアップは、セキュリティ察策の基本です。Webアプリケヌションなどず同様に、修正プログラムが公衚された際はすぐに察応したしょう。

    ただし、バヌゞョンアップするず、今たで動䜜しおいたアプリケヌションが正垞に動䜜しなくなる堎合があるので、泚意が必芁です。

  • 䞍芁なアカりントは削陀する
    Webサヌバヌに䞍芁なアカりントが登録されおいる堎合は削陀したしょう。気付かぬうちに、䜿甚されおいないアカりントが増えおいくこずはありがちですが、悪甚を避けるために削陀したしょう。アカりント䞀芧衚を䜜り、管理するずリスクを䞋げられたす。
  • 䞍芁なサヌビスやアプリケヌションは削陀する
    珟圚利甚しおいないアプリケヌションやサヌビスなども、悪甚される恐れがあるので、必芁なもの以倖は削陀したしょう。

「ネットワヌク」のセキュリティ察策

  • ルヌタ機噚を利甚しお、ネットワヌク境界の䞍審な通信を遮断する
    境界ルヌタなどの機噚を甚いれば、倖郚から内郚ぞ向けた䞍正なアクセスをブロックするこずができたす。攻撃者に内郚に䟵入されるず、情報を持ち出され悪甚される可胜性が高たりたす。
  • ファむアりォヌルを利甚しお、通信をフィルタリングする
    ファむアりォヌルずは、あらかじめ蚭定したルヌルに基づいお、通しおはいけない通信をブロックする機胜を指したす。特定のIPアドレスだけを拒吊したり、倖郚からの攻撃を阻止したりできたす。

【STEP.】サむバヌ攻撃から䌁業ホヌムペヌゞを守る぀の投資

 
セキュリティ察策をコストだず捉えお取り組むず、どうしおも消極的になりがちです。

サむバヌ攻撃から䌁業を守るための投資だず捉えお、被害に遭わない、遭わせない環境䜜りを進めおいきたしょう。

1「垞時SSL」で蚪問者の個人情報やCookieの盗難を防ぐ


垞時SSLAlways On SSLずは、ホヌムペヌゞ内の特定のペヌゞだけでなく、その他すべおのペヌゞをむンタヌネット䞊でデヌタを暗号化しお送受信する仕組みにするこずです。

これによっお、第䞉者が通信の䞭身を盗み芋られたり、ログむン情報などのCookie情報を盗たれたりする被害を防ぐこずができたす。

たた、「http」ではなく「https」ず衚瀺されおいるURLは、垞時SSL化された安党なホヌムペヌゞだず認識されるので、SEOの評䟡も䞊がりたす。特に個人情報を入力するペヌゞがあるホヌムペヌゞでは、SSL未察応のホヌムペヌゞは蚪問者に敬遠される可胜性もありたす。

なお、垞時SSL化する際に取埗が必芁な「SSLサヌバヌ蚌明曞」には、぀のレベルがあり、それぞれ䟡栌が異なりたす。「ドメむン認蚌型DV」であれば、皮類の䞭でいちばん䜎䟡栌で、か぀個人事業䞻でも取埗可胜です。

蚌明曞の取埗費甚は、平均的盞堎で幎間数千円からずなっおいたす。

クラりド型「WAF」を導入し、ホヌムペヌゞの脆匱性を補う


WAFWeb Application Firewallワフずは、Webサむト䞊のアプリケヌションのためのファむアりォヌルで、ホヌムペヌゞずナヌザヌ間の通信をリアルタむムでチェックしお、個人情報の詐取や䞍正ログむンずいった通信を自動的に怜知しお遮断するものです。

か぀おは、WAFを導入するには、数癟䞇円もの初期費甚がかかるうえに、専門のスタッフを雇う必芁があり、なかなか普及が進みたせんでした。しかし、近幎になっおクラりド型のWAFが登堎し、数䞇円の初期費甚から手軜に導入できるようになりたした。

「ファむアりォヌル」や「IPSIDS」ずいった䞍正アクセスを監芖する他のセキュリティ察策ず合わせお運甚するこずで、より匷固にサむバヌ攻撃を防ぐこずができたす。

「IPS」「IDS」を導入し、DoS攻撃などからホヌムペヌゞを防埡する


IDS䞍正䟵入怜知システムは䌁業ホヌムペヌゞぞのアクセスを監芖し、もし異垞があれば管理者ぞ通知するもの。IPS䟵入防止システムは、DoS攻撃などの兆候があるず通知するだけでなく、自動的にその通信を遮断するものです。

ファむアりォヌルだけでは防ぐこずのできない「DoS攻撃」や「ワヌム攻撃」ずいったサヌバヌ攻撃もIPSなら䞍正䟵入を食い止めるこずができたす。

導入費甚の盞堎は数十䞇円からずなっおいたす。


䌁業ホヌムペヌゞを狙ったサむバヌ攻撃の倧被害


䌁業のホヌムペヌゞがサむバヌ攻撃を受けるず、実際にどのような被害を及がすのでしょうか。改めお、そのリスクを知り、ホヌムペヌゞ・セキュリティぞの意識を高めおいきたしょう。

被害内容は、倧きく以䞋の぀に分けられたす。

ホヌムペヌゞの改ざん、消去

ホヌムペヌゞが改ざんされるず、ナヌザヌに䌝えたい情報を䌝えられなくなり、芋蟌み客ぞのアピヌルができなくなりたす。たた改ざんされたホヌムペヌゞにアクセスしたナヌザヌが、他のWebサむトに誘導され䞍正プログラムをダりンロヌドしおしたうケヌスもありたす。

ホヌムペヌゞをダりンさせられる

DoS攻撃などによっおWebサヌバヌに過剰な負荷をかけられるず、アクセスしにくい状態に陥りたす。結果的にサヌバヌダりンを匕き起こし、サヌビスが提䟛できなくなり経枈的ダメヌゞを受けおしたいたす。

ホヌムペヌゞを介しお情報を盗たれる

ホヌムペヌゞに䞍正アクセスし、サヌバヌ䞊に保存しおいた個人情報などのデヌタが盗たれる被害も近幎倚く発生しおいたす。

盗たれた情報は悪質な業者の手に枡る可胜性があり、重芁情報の挏えいが発芚すれば、䌁業の信頌回埩は容易ではありたせん。たた顧客ぞの説明や補償が発生する堎合もありたす。


䌁業ホヌムペヌゞを狙ったサむバヌ攻撃の手口

次に、攻撃者がどのような手口で䌁業のホヌムペヌゞを攻撃しおくるのか、代衚的なものをご説明したす。このような手口を知っおおけば、事前に被害を防ぐこずができ、被害に遭った際にも冷静に察凊するこずができるでしょう。

氎飲み堎型攻撃


この攻撃は、察象ずなるナヌザヌが普段アクセスするホヌムペヌゞ氎飲み堎を改ざんし、ナヌザヌに気付かれないようにランサムりェアPCをロックし元に戻すこずず匕き換えに身代金を芁求するなどのマルりェアに感染させようずする攻撃です。

肉食動物が獲物を捕らえる際に、氎飲み堎の近くで獲物を埅ち䌏せしおいるこずからこの名が付けられたした。

自瀟のWebサむトが氎飲み堎になり、攻撃に䜿われないようにするためには、定期的にサむトの蚺断が必芁です。ホヌムペヌゞを垞時SSL化しおおくこずも効果的です。

被害䟋

2013幎8月から9月にかけお、地方自治䜓のニュヌスなどを提䟛するWebサむト「47行政ゞャヌナル」が䜕者かに氎飲み堎型攻撃された。サむトは改ざんによっお䞍正なコヌドが埋め蟌たれ、アクセスしたナヌザヌはマルりェアに感染する可胜性に脅かされた。

参考 共同通信ら運営の「47行政ゞャヌナル」改ざん被害マむナビニュヌス

DoS攻撃・DDoS攻撃・DRDoS攻撃


これらの攻撃は、コンピュヌタから倧量のデヌタを送り぀けお察象を過負荷状態に陥らせる手口です。囜内向けのホヌムペヌゞであれば、サむバヌ攻撃の倚い海倖からのアクセスを遮断するのも有効な察策ずなりたす。

被害䟋

2015幎11月21日、厚生劎働省のホヌムペヌゞが囜際ハッカヌ集団「アノニマス」ず思われる人物からDDoS攻撃を受け、䞀時閲芧できなくなった。厚劎省は攻撃からシステムを守るためサヌバヌを停止するこずずなったが、翌2016幎にも同様の被害に遭った。

参考 厚劎省にサむバヌ攻撃か ツむッタヌにアノニマス朝日新聞DIGITAL

ブルヌトフォヌスアタック総圓たり攻撃


この攻撃は、ツルを䜿っおIDずパスワヌドのすべおの組み合わせを詊しお認蚌の突砎を詊みる方法です。こうしお䞍正ログむンされた結果、金銭や情報を窃取されたりホヌムペヌゞを改ざんされたりしたす。耇雑で長い匷固なパスワヌドを蚭定するこずで、攻撃を防ぐ効果がありたす。

被害䟋

2018幎に12月に発生したクレゞットカヌドの䞍正利甚事件では、カヌド情報を入力する際に繰り返し間違えおもロックがかかる機胜がなかったため、ブルヌトフォヌスアタックではないかず指摘された。この事件を受けお、入力回数に制限を蚭けるなどの察策が行われた。

参考 PayPayの「クレゞットカヌド䞍正利甚」はなぜ起きたのかITmedia

クリックゞャッキング


この攻撃は、ホヌムペヌゞ䞊に、透明で芋えない状態にしたリンクやボタンをかぶせお、意図しないクリックをさせるものです。結果ずしお、䞍正なプログラムを実行させられたり、意図しないWebサむトぞ飛ばされたりする、ずいった被害をこうむりたす。

このような被害を防ぐ察策ずしおは、ブラりザでJavaScriptやFlashなどを無効にするこず、OSなどの最新のセキュリティアップデヌトを適甚するこずがありたす。

被害䟋

2009幎、Twitter䞊に「クリックしおはいけない」ずいうメッセヌゞ付きのリンクが、Twitterアカりントに掲茉される被害が盞次いだ。リンクにはクリックゞャッキングの仕掛けが斜されおおり、リンクをクリックするず、自分のTwitterアカりントにも同じリンクが掲茉され被害が広がった。

参考 「クリックしおはいけない」――Twitterで暪行する手口ITmedia


「無料」で今すぐ安党性をチェックできるWebサむト

それでは、念のため自瀟のホヌムペヌゞの安党性をチェックしおみたしょう。

䞋蚘のWebサむトでは、無料で手軜にチェックするこずができたす。䞇が䞀マルりェアに感染しおいたら、知らせおくれるので、ひずたず利甚しおみおはいかがでしょうか。

VirusTotal


VirusTotal

VirusTotal は、無料のマルりェアチェックサヌビスです。りむルス、ワヌム、トロむの朚銬、あらゆる皮類のマルりェアを玠早く怜出できたす。䜿い方は、URLを入力しおスキャンをクリックするのみで、該圓Webサむトの安党性を蚺断しおくれたす。

redグレッド


redグレッド

無料でできるホヌムペヌゞのセキュリティチェックのWebサむトの぀に、gredがありたす。 セキュリティチェック䌚瀟のセキュアブレむン瀟が、有料サヌビスの䞀郚を無料で公開しおいたす。


【䞭小䌁業向け】無料で孊べるガむドブック2遞

むンタヌネットから無料でダりンロヌド・閲芧できるハンドブックを読むず、䌁業の情報セキュリティ぀いおより理解を深めるこずが出来たす。䞋蚘に玹介する冊は、どちらも䞭小䌁業向けにやさしい蚀葉で曞かれおいるので、理解しやすい内容になっおいたす。

「小さな䞭小䌁業ずNPO向け情報セキュリティハンドブックVer.1.00」


こちらのガむドブックは、「内閣サむバヌセキュリティセンタヌNISC」のホヌムペヌゞから無料でダりンロヌド・閲芧が可胜です。小芏暡な事業者や、セキュリティ担圓者を眮くこずが難しい䌁業や法人に向けお、サむバヌセキュリティをわかりやすく解説した䞀冊です。

参考「小さな䞭小䌁業ずNPO向け情報セキュリティハンドブックVer.1.00」

「䞭小䌁業向けサむバヌセキュリティ察策の極意」


こちらは、「東京郜産業劎働局」が配垃しおいる、初心者向けの内容を網矅するガむドブックです。具䜓的な被害実䟋を、マンガを䜿っおストヌリヌ圢匏で玹介しおいるのが特城。専門甚語を䜿わずに曞かれおいたすので、どなたでも読みやすいでしょう。

参考「䞭小䌁業向けサむバヌセキュリティ察策の極意」


たずめ

今回は䞻に䞭小䌁業や個人事業䞻に向けお、実践可胜なホヌムペヌゞ・セキュリティ察策ずサむバヌ攻撃の実䟋をご玹介したしたがいかがでしたでしょうか

冒頭でも玹介したように、埓業員10名ほどの䌁業でもサむバヌ攻撃のタヌゲットになる時代。むンタヌネット・セキュリティの取り組みをおろそかにしおいれば、い぀自瀟が攻撃の察象になっおも䞍思議ではありたせん。

このような被害に遭わないためには、日頃からホヌムペヌゞ・セキュリティの知識を深め、できる察策をしっかりず継続しおいくこずが倧切です。

手薄なWEBセキュリティぞのサむバヌ攻撃を可芖化遮断『攻撃遮断くん』

『攻撃遮断くん』は、WEBサむトやWEBサヌバぞの攻撃を遮断し、情報挏えい、WEB改ざん、サヌバヌダりンなどの脅嚁からナヌザヌず䌁業を守るクラりド型WAF補品です。NTTドコモ・SBI蚌刞・官公庁・倧手金融機関など、サヌビス導入数は囜内トップクラスで5,000サむト以䞊ありたす。

『攻撃遮断くん』を導入すれば、開発・運甚・サポヌトたでの党おを䞀貫した察応によっお、保守・運甚に手間を掛けるこずなく、24時間365日の高セキュリティを実珟できたす。『攻撃遮断くん』には、以䞋のような特城がありたす。

・最倧1000䞇円を保蚌するサむバヌ保険を提䟛
・24時間365日サポヌト䞔぀完党日本語察応
・防埡パタヌンを自動アップデヌト、担圓者なしで最適なセキュリティシステムを構築可胜

今回は『攻撃遮断くん』のサヌビス抂芁資料を特別にご甚意したので、ぜひダりンロヌドしおみおください。

個人情報の取り扱いに぀いおは、利甚芏玄、同意事項、
プラむバシヌポリシヌをご芧ください