こんにちは。webエンジニアの竹崎明日香です。

この頃すっかり朝晩は肌寒くなって、秋めいてきましたね。私が一年で一番好きな季節です。
どこからともなく香ってくる金木犀はまだかなーと楽しみにしているところです。

さて、本日はウェブサイトのセキュリティについてのお話を。

先日、あるお客様から、サイトへの不審な会員登録が続いているというご連絡を受けました。
調査したところ、ある日を境におかしなアクセスが集中していることが判明。その行動の特徴から、「明らかに人間ではない機械的な動きをするもの」についてはアクセスを制限するという対策を取りました。

サイトログおよびサーバーログのチェックを行って、対策により継続的なアクセス遮断ができた事に加え、侵入された痕跡やバックドアを作られた痕跡がないこと、被害がなかったことを確認。
ようやく胸をなでおろした出来事でした。

その日のうちに、同様のケースに当てはまるお客様のサイトもチェックし、対策を講じました。

この仕事をやっていて一番怖いのが、こういったサイバー攻撃です。

インターネットやIT技術が目覚ましく進歩し、情報が重要な資産となる今の時代、サイバー攻撃の手口も同じように目覚ましく進歩しています。
昔からよく言われるように、まさにいたちごっこ。本当は避けて通りたい。。。

 

中小企業も狙われている！サイバー攻撃の代表的な手口

攻撃者からしたら、狙い撃ちでない限り、相手が大企業か中小企業か、はたまた個人かは大した問題ではありません。
大切な資産としての情報を守るために、大企業はセキュリティ対策に莫大なコストをかけており、その分セキュリティは堅牢です。対して中小企業や個人はそこに割けるコストが少ないため、セキュリティが甘くなりがち。昨今、中小企業が攻撃され被害を受けるケースもよく聞きます。

攻撃によって受ける被害はさまざまですが、

• サイト内の個人情報を含む機密データの漏洩
• フォーム等で通信される情報の漏洩
• サイトの乗っ取り、改ざん
• スパムメールのスタンド(発信源)にされる

などが代表的なものになります。

手口としては

• SQLインジェクション
  入力フォームなどからデータベース言語であるSQLを注入し、データベースに不正アクセス
• XSS(クロスサイトスクリプティング)
  入力フォームなどから悪意のあるプログラムを送信し、webページに不正アクセス
• ブルートフォースアタック(総当たり攻撃)
  ログイン画面からパスワード総当たり攻撃を仕掛け、webアプリケーションに侵入

などがあります。

 

 

どう対策すればいいの？

ここでは、代表的なwebセキュリティ対策をご紹介します。
サーバーのセキュリティ対策や、そもそものCMS(コンテンツマネジメントシステム)の設計・設定以外で、サイトオーナー様が検討できることに絞っています。

1. SSL(暗号化通信)の導入
   フィッシング、情報の盗聴、通信過程の改ざんなどを防ぎます。
2. 更新システムなどを最新にする
   古いバージョンには、セキュリティホール(脆弱性)があります。乗り換えやバージョンアップはwebセキュリティ対策として有効です。
3. 更新システムのログインアドレスを隠す
   そもそもログインする場所を攻撃者から隠します。パスワード総当たり攻撃に有効です。
4. 悪意のあるbotを遮断するサービスを導入
   わかりやすい例でいうと、よく見る「私はロボットではありません」的なやつです。リクエストが人間によるものか、botによるものかを判断して不正アクセスを防ぎます。
5. 積極的な対策を検討
   もっとコストをかけられる場合は、セキュリティ診断サービスや監視サービスの導入を検討してもいいでしょう。

前提として、サイバー攻撃は日々進化します。1回対策をしたからあとはもう100%安全！なんてことは残念ながら言い切れないものです。
適切な対応を行いながら、大切な情報を守っていきましょう。

 

最後に

CMねっとでは、制作時点での基本的なセキュリティ対策は行っていますが、先に述べた通り、サイバー攻撃が日々進化しているように、セキュリティも日々アップデートしていくことが大切です。

前項でご紹介した対策などは、当社で制作されたお客様には、通常サポート内または特別価格で対応させて頂きますので、お気軽にお問合せ下さい。

他社で制作された方にも、お客様に合わせたご提案ができると思いますので、ちょっと気になるぞ！という方はご相談ください。