企業がインターネットを活用するようになって久しい昨今、深刻な問題となっているのが企業のホームページを狙ったサイバー攻撃です。そして近年、その被害は大企業から中小企業まで広がりを見せています。
そこで、今回の記事では、主に中小企業や個人事業主を対象に、ホームページ・セキュリティの対策法とサイバー攻撃のリスクを実例とあわせて解説していきます。
弊社では、現在まで8,772社(2019年2月現在)のホームページを制作してまいりましたが、今回は日頃の経験と知識を活かし、貴社の大切なホームページを守るための具体的な対策を紹介します。
本記事をお読みいただければ、セキュリティ対策の意識を高め、実行が可能な施策を知ることができます。本記事を参考に、できることから今すぐ対策を始めましょう。
目次
今すぐ要対策! 中小企業のホームページが狙われる3つの理由
サイバー攻撃の標的が大企業から中小企業に向かっていることをあらわす1つのデータがあります。情報セキュリティサービスの大手・シマンテック社が発表した調査結果です。
報告では、サイバー攻撃を受けた会社のうち大企業が占める割合が年々減少しているのに対し、従業員250人以下の小規模企業の割合が2011年から5年間で2倍以上に上昇していることが示されています。
明らかに今、中小企業のホームページ・セキュリティ対策の必要性が高まっています。
参考: 攻撃者は標的企業の規模を問わない(シマンテック/PDF)
例えば、2016年に京都の健康食品販売会社が不正アクセスされたケースでは、被害に遭った企業の従業員わずか10名でした。
なぜ、このような小さな企業までが、ターゲットになってしまったのでしょうか?
中小企業が狙われるようになった理由は下記の3点です。
1)中小企業は、セキュリティ対策が不十分なまま放置されているケースが多いから
中小企業がサイバー攻撃の標的になっている理由のひとつは、大企業と比べてセキュリティ対策が十分に整備されていないことが多く、攻めやすいということがあげられます。
多くの中小企業では自社の対策が十分ではないことを認識しつつもセキュリティ対策にあてる費用と人員に余裕がなく、結果的に恰好の標的になってしまうのです。
2)大企業を狙うより、中小企業の方が効率よく成果を得られるから
近年、大企業や中央官庁のセキュリティ対策が向上したことも影響しています。
2016年にKPMGコンサルティング社が発表した調査結果によると、売上高500億円以上の国内企業の4割が、セキュリティ対策に1,000万円以上の投資をしていることが明らかになりましたが、小さな企業では実行可能なセキュリティ対策も限られています。
大企業と中小企業のセキュリティ対策には大きなひらきがあり、効率よく中小企業を狙う考えが広がっているのです。
3)中小企業を突破口にすると大企業を攻撃しやすいから
自社にはハッキングされても困るような情報がないから大丈夫だと考えている企業もありますが、それは必ずしも攻撃をされない理由にはなりません。
堅いセキュリティの大企業を正面から攻撃するのを避け、セキュリティの甘い中小企業を大企業に侵入するための突破口として、大企業の顧客情報や営業機密を狙うケースもあるのです。
また、攻撃者の手法も年々多様化・巧妙化してきており、いつまでも古いセキュリティ意識ではいつ自社のホームページが被害に遭っても不思議ではありません。
自社のセキュリティの甘さから重要情報を漏洩させてしまうと、取引先や顧客からの信頼を失ってしまい、その回復は容易ではありません。場合によっては賠償を求められる場合も…。
このような被害に遭わないためには、早急にセキュリティ対策を見直す必要があるでしょう。
開設と同時に始めたいホームページ・セキュリティ対策
企業のホームページを狙ったサーバー攻撃のリスクは、けっして小さなものではありません。
サイバー犯罪が巧妙化していくなかで、大企業では、甚大な被害のリスクに備えて、セキュリティ対策に巨額の投資をすることも珍しくなくなりました。
では中小企業を狙ったサイバー攻撃に対して、どのような対策を講じればよいのでしょうか。
ここからは、上記のような被害に遭わないための対策法を3段階のレベルに分けでご紹介します。
【STEP.1】基本のキ・社員のセキュリティ意識を高める
サイバー攻撃から企業を守るためには、まずはそこで働く社員のセキュリティに対する意識を高めることが求められます。1人ひとりにホームページ・セキュリティの重要性を理解してもらい、下記のような取り組みを徹底すれば、被害のリスクを下げることができます。
※【STEP.1】は、初歩的な内容ですので、既にホームページ・セキュリティに取り組まれている方は、読み飛ばして頂いても結構です。
1)OSやウイルス対策ソフトウェアなどは、常に最新の状態に保つ
業務で使っているパソコンの更新プログラムやアップデート通知がきたら、すぐに最新の状態にしましょう。古いままではセキュリティ上の脆弱性や不具合に対応できないケースもあります。
業務で使っているツールのアップデート通知やスマホのソフトウェア、OSのバージョンアップも同様です。
ウイルス対策ソフトを導入後は、ウイルスの定義ファイルを最新に保つこともお忘れなく!
参考:セキュリティソフトの選び方|11種徹底比較(価格・機能・期間・台数・サポート・動作負荷)
2)パスワードの強化を行う
「123456」や「password」、生年月日や誕生日など、推測されやすいパスワードは攻撃者に突破されやすいので避けましょう。また、複数のWebサービスで同じパスワードを使うと、 ID・パスワードが流出してしまった際、芋づる式に不正ログインされるケースが多く危険です。
参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介
3)共有設定を見直す
インターネット上にデータを保存できるクラウドサービスや社内で共有しているハードディスクを使っている企業では、データ保管先へのログインやファイル閲覧の権限を見直しましょう。
社員が退職する場合は、必ず共有範囲の設定をチェックして権限の変更やアカウントの削除なども随時行ないましょう。
【STEP.2】3方向からの対策で鉄壁のセキュリティを目指す!
STEP.2では、企業のホームページをさまざまな攻撃から守るために、「Webアプリケーション」「Webサーバー」「ネットワーク」の3方向からの対策です。
1)「Webアプリケーション」のセキュリティ対策
Webアプリケーションとは、ブラウザから利用できるアプリケーション・サービスを指します。
こうしたWebアプリケーションに関連するセキュリティ対策は以下の通りです。
- Webアプリケーションは常に最新の状態にする
Webアプリケーションのバージョンアップ・データを定期的にチェックし、常に最新の状態に更新しましょう。更新を怠ると、システム内に潜む脆弱性を放置することにつながり、サイバー攻撃を受けやすくなります。例えば、「Word Press」などのCMSもWebアプリケーションのひとつ。オープンソースのため脆弱性が出やすいという側面がありますので、アップデートの通知がきたら直ぐに対処しましょう。
- 公開すべきでないファイルや不要なWebサイトを公開しない
個人情報などホームページの訪問者に見せる必要のないページやファイルは、インターネットからアクセスできない場所に保管するようにし、不要なファイルは削除しましょう。また不要になったページやWebサイトをそのままにしておくと管理が行き届かなくなり、攻撃の対象になる可能性もあるので削除しましょう。
2)「Webサーバー」のセキュリティ対策
Webサーバーには、日常の業務に必要なさまざまなデータが蓄積されています。
攻撃を受ければ、大切な業務情報の消失や個人情報の大量漏えいを招きかねません。
- OSやサーバーソフトウェア、ミドルウェアをバージョンアップする
OSやサーバーソフトウェア、ミドルウェアのすみやかなバージョンアップは、セキュリティ対策の基本です。Webアプリケーションなどと同様に、修正プログラムが公表された際はすぐに対応しましょう。ただし、バージョンアップすると、今まで動作していたアプリケーションが正常に動作しなくなる場合があるので、注意が必要です。
- 不要なアカウントは削除する
Webサーバーに不要なアカウントが登録されている場合は削除しましょう。気付かぬうちに、使用されていないアカウントが増えていくことはありがちですが、悪用を避けるために削除しましょう。アカウント一覧表を作り、管理するとリスクを下げられます。
- 不要なサービスやアプリケーションは削除する
現在利用していないアプリケーションやサービスなども、悪用される恐れがあるので、必要なもの以外は削除しましょう。
3)「ネットワーク」のセキュリティ対策
- ルータ機器を利用して、ネットワーク境界の不審な通信を遮断する
境界ルータなどの機器を用いれば、外部から内部へ向けた不正なアクセスをブロックすることができます。攻撃者に内部に侵入されると、情報を持ち出され悪用される可能性が高まります。
- ファイアウォールを利用して、通信をフィルタリングする
ファイアウォールとは、あらかじめ設定したルールに基づいて、通してはいけない通信をブロックする機能を指します。特定のIPアドレスだけを拒否したり、外部からの攻撃を阻止したりできます。
【STEP.3】サイバー攻撃から企業ホームページを守る3つの投資
セキュリティ対策をコストだと捉えて取り組むと、どうしても消極的になりがちです。
サイバー攻撃から企業を守るための投資だと捉えて、被害に遭わない、遭わせない環境作りを進めていきましょう。
1)「常時SSL」で訪問者の個人情報やCookieの盗難を防ぐ
常時SSL(Always On SSL)とは、ホームページ内の特定のページだけでなく、その他すべてのページをインターネット上でデータを暗号化して送受信する仕組みにすることです。
これによって、第三者が通信の中身を盗み見られたり、ログイン情報などのCookie情報を盗まれたりする被害を防ぐことができます。
また、「http」ではなく「https」と表示されているURLは、常時SSL化された安全なホームページだと認識されるので、SEOの評価も上がります。特に個人情報を入力するページがあるホームページでは、SSL未対応のホームページは訪問者に敬遠される可能性もあります。
なお、常時SSL化する際に取得が必要な「SSLサーバー証明書」には、3つのレベルがあり、それぞれ価格が異なります。「ドメイン認証型(DV)」であれば、3種類の中でいちばん低価格で、かつ個人事業主でも取得可能です。
証明書の取得費用は、平均的相場で年間数千円からとなっています。
2)クラウド型「WAF」を導入し、ホームページの脆弱性を補う
WAF(Web Application Firewall=ワフ)とは、Webサイト上のアプリケーションのためのファイアウォールで、ホームページとユーザー間の通信をリアルタイムでチェックして、個人情報の詐取や不正ログインといった通信を自動的に検知して遮断するものです。
かつては、WAFを導入するには、数百万円もの初期費用がかかるうえに、専門のスタッフを雇う必要があり、なかなか普及が進みませんでした。しかし、近年になってクラウド型のWAFが登場し、数万円の初期費用から手軽に導入できるようになりました。
「ファイアウォール」や「IPS/IDS」といった不正アクセスを監視する他のセキュリティ対策と合わせて運用することで、より強固にサイバー攻撃を防ぐことができます。
3)「IPS」「IDS」を導入し、DoS攻撃などからホームページを防御する
IDS(不正侵入検知システム)は企業ホームページへのアクセスを監視し、もし異常があれば管理者へ通知するもの。IPS(侵入防止システム)は、DoS攻撃などの兆候があると通知するだけでなく、自動的にその通信を遮断するものです。
ファイアウォールだけでは防ぐことのできない「DoS攻撃」や「ワーム攻撃」といったサーバー攻撃もIPSなら不正侵入を食い止めることができます。
導入費用の相場は数十万円からとなっています。
企業ホームページを狙ったサイバー攻撃の3大被害
企業のホームページがサイバー攻撃を受けると、実際にどのような被害を及ぼすのでしょうか。改めて、そのリスクを知り、ホームページ・セキュリティへの意識を高めていきましょう。
被害内容は、大きく以下の3つに分けられます。
1)ホームページの改ざん、消去
ホームページが改ざんされると、ユーザーに伝えたい情報を伝えられなくなり、見込み客へのアピールができなくなります。また改ざんされたホームページにアクセスしたユーザーが、他のWebサイトに誘導され不正プログラムをダウンロードしてしまうケースもあります。
2)ホームページをダウンさせられる
DoS攻撃などによってWebサーバーに過剰な負荷をかけられると、アクセスしにくい状態に陥ります。結果的にサーバーダウンを引き起こし、サービスが提供できなくなり経済的ダメージを受けてしまいます。
3)ホームページを介して情報を盗まれる
ホームページに不正アクセスし、サーバー上に保存していた個人情報などのデータが盗まれる被害も近年多く発生しています。
盗まれた情報は悪質な業者の手に渡る可能性があり、重要情報の漏えいが発覚すれば、企業の信頼回復は容易ではありません。また顧客への説明や補償が発生する場合もあります。
企業ホームページを狙ったサイバー攻撃の手口
次に、攻撃者がどのような手口で企業のホームページを攻撃してくるのか、代表的なものをご説明します。このような手口を知っておけば、事前に被害を防ぐことができ、被害に遭った際にも冷静に対処することができるでしょう。
水飲み場型攻撃
この攻撃は、対象となるユーザーが普段アクセスするホームページ(水飲み場)を改ざんし、ユーザーに気付かれないようにランサムウェア(PCをロックし元に戻すことと引き換えに身代金を要求する)などのマルウェアに感染させようとする攻撃です。
肉食動物が獲物を捕らえる際に、水飲み場の近くで獲物を待ち伏せしていることからこの名が付けられました。
自社のWebサイトが水飲み場になり、攻撃に使われないようにするためには、定期的にサイトの診断が必要です。ホームページを常時SSL化しておくことも効果的です。
<被害例>
2013年8月から9月にかけて、地方自治体のニュースなどを提供するWebサイト「47行政ジャーナル」が何者かに水飲み場型攻撃された。サイトは改ざんによって不正なコードが埋め込まれ、アクセスしたユーザーはマルウェアに感染する可能性に脅かされた。
参考: 共同通信ら運営の「47行政ジャーナル」改ざん被害(マイナビニュース)
DoS攻撃・DDoS攻撃・DRDoS攻撃
これらの攻撃は、コンピュータから大量のデータを送りつけて対象を過負荷状態に陥らせる手口です。国内向けのホームページであれば、サイバー攻撃の多い海外からのアクセスを遮断するのも有効な対策となります。
<被害例>
2015年11月21日、厚生労働省のホームページが国際ハッカー集団「アノニマス」と思われる人物からDDoS攻撃を受け、一時閲覧できなくなった。厚労省は攻撃からシステムを守るためサーバーを停止することとなったが、翌2016年にも同様の被害に遭った。
参考: 厚労省にサイバー攻撃か ツイッターにアノニマス?(朝日新聞DIGITAL)
ブルートフォースアタック(総当たり攻撃)
この攻撃は、ツ-ルを使ってIDとパスワードのすべての組み合わせを試して認証の突破を試みる方法です。こうして不正ログインされた結果、金銭や情報を窃取されたりホームページを改ざんされたりします。複雑で長い強固なパスワードを設定することで、攻撃を防ぐ効果があります。
<被害例>
2018年に12月に発生したクレジットカードの不正利用事件では、カード情報を入力する際に繰り返し間違えてもロックがかかる機能がなかったため、ブルートフォースアタックではないかと指摘された。この事件を受けて、入力回数に制限を設けるなどの対策が行われた。
参考: PayPayの「クレジットカード不正利用」はなぜ起きたのか?(ITmedia)
クリックジャッキング
この攻撃は、ホームページ上に、透明で見えない状態にしたリンクやボタンをかぶせて、意図しないクリックをさせるものです。結果として、不正なプログラムを実行させられたり、意図しないWebサイトへ飛ばされたりする、といった被害をこうむります。
このような被害を防ぐ対策としては、ブラウザでJavaScriptやFlashなどを無効にすること、OSなどの最新のセキュリティアップデートを適用することがあります。
<被害例>
2009年、Twitter上に「クリックしてはいけない」というメッセージ付きのリンクが、Twitterアカウントに掲載される被害が相次いだ。リンクにはクリックジャッキングの仕掛けが施されており、リンクをクリックすると、自分のTwitterアカウントにも同じリンクが掲載され被害が広がった。
参考: 「クリックしてはいけない」――Twitterで横行する手口(ITmedia)
「無料」で今すぐ安全性をチェックできるWebサイト
それでは、念のため自社のホームページの安全性をチェックしてみましょう。
下記のWebサイトでは、無料で手軽にチェックすることができます。万が一マルウェアに感染していたら、知らせてくれるので、ひとまず利用してみてはいかがでしょうか。
VirusTotal
VirusTotal は、無料のマルウェアチェックサービスです。ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。使い方は、URLを入力して[スキャン]をクリックするのみで、該当Webサイトの安全性を診断してくれます。
gred(グレッド)
無料でできるホームページのセキュリティチェックのWebサイトの1つに、gredがあります。 セキュリティチェック会社のセキュアブレイン社が、有料サービスの一部を無料で公開しています。
【中小企業向け】無料で学べるガイドブック2選
インターネットから無料でダウンロード・閲覧できるハンドブックを読むと、企業の情報セキュリティついてより理解を深めることが出来ます。下記に紹介する2冊は、どちらも中小企業向けにやさしい言葉で書かれているので、理解しやすい内容になっています。
「小さな中小企業とNPO向け情報セキュリティハンドブックVer.1.00」
こちらのガイドブックは、「内閣サイバーセキュリティセンター(NISC)」のホームページから無料でダウンロード・閲覧が可能です。小規模な事業者や、セキュリティ担当者を置くことが難しい企業やNPO法人に向けて、サイバーセキュリティをわかりやすく解説した一冊です。
参考:「小さな中小企業とNPO向け情報セキュリティハンドブックVer.1.00」
「中小企業向けサイバーセキュリティ対策の極意」
こちらは、「東京都産業労働局」が配布している、初心者向けの内容を網羅するガイドブックです。具体的な被害実例を、マンガを使ってストーリー形式で紹介しているのが特徴。専門用語を使わずに書かれていますので、どなたでも読みやすいでしょう。
まとめ
今回は主に中小企業や個人事業主に向けて、実践可能なホームページ・セキュリティ対策とサイバー攻撃の実例をご紹介しましたがいかがでしたでしょうか?
冒頭でも紹介したように、従業員10名ほどの企業でもサイバー攻撃のターゲットになる時代。インターネット・セキュリティの取り組みをおろそかにしていれば、いつ自社が攻撃の対象になっても不思議ではありません。
このような被害に遭わないためには、日頃からホームページ・セキュリティの知識を深め、できる対策をしっかりと継続していくことが大切です。