10.サイト管理者が気をつけるべきセキュリティ

前回はIoT機器への乗っ取り/侵入に関する攻撃を紹介しました。
今回はホームページを運用している会社も多いと思いますので、サイト管理者が気をつけるべきセキュリティをご紹介します。

※分かりやすさを重視しますので、厳密な説明ではない場合があります。ご了承ください。

分からないでは済まされない

ホームページ(ウェブサイト)を攻撃され、個人情報やユーザーアカウントが漏えいしてしまうニュースは後を絶ちません。サイト制作自体は外部委託されている場合が多く、実際どのようなセキュリティ対策が取られているのか分からない場合が多いのではないでしょうか。
しかし、一度情報漏えいを起こしてしまうと、自社が責任を問われることになり「外部委託なので分からない」という回答は通用しないこととなりますので、しっかりと委託業者にも確認しておくとよいでしょう。

1.FTPの管理

FTPとはウェブサイトが保管・公開されているサーバーに接続するための通信で、多くは専用のソフト(WinSCPやFFFTPなど)を通じてウェブサイト用のデータをやり取りします。
サーバーに接続するためには、FTP用のID/PASSや秘密鍵と言われる専用の情報(FTP情報)を使いますが、このFTP情報を管理するのはサーバー契約者が基本となります。
つまり、自社で直接プロバイダと契約しているのであれば、自社で管理する必要があります。

FTP情報が漏れると以下のような危険があります。

  1. サイトの改ざん、削除
  2. 個人情報を保持している場合、個人情報漏えい
  3. ウィルス等悪意のあるプログラムを仕込まれる

FTP情報は外部に漏れると大変危険です。

サイト制作を外部委託している場合、制作時はFTP情報を委託業者に通知していることと思いますが、業者が変更になった場合や、納品後しばらく接続することが想定されない場合などは、パスワード変更を行っておくとよいでしょう。
また、委託業者のFTP情報の管理状況も確認しておくことも大切です。

9年程前に「ガンブラー」というウィルスが流行り、サイト制作会社狙われることで保持しているFTP情報が大量に漏えいするというインシデントがありました。

リスクは最小限に抑えるようにしましょう。
また、サーバーが古い契約で一度もパスワード変更していない場合、念のために変更を行ってもよいかと思います。

2.システムのバージョン

昨今のウェブサイトでは、ニュースやブログなどを自社内で追加更新ができるCMSと呼ばれるシステムが導入されていることがほとんどです。現在、国内でよく使用されているCMSは「WordPress」が圧倒的で、次いで「Joomla」「Drupal」といったものもあります。

大変便利なCMSですが、やはりこれらも日々脆弱性が発見されており、それを修正するためのバージョンアップやパッチが随時更新されています。
この脆弱性を放っておくと、サイトの改ざんなどの危険がありますので、常に最新のバージョンになっているかを確認しておく必要があります。

とくに、納品後に委託業者によるメンテナンスがされていない場合、バージョンが古いまま使用されているケースも多々ありますので、一度確認をした方がよいでしょう。
また、定期メンテナンス契約がない場合は、システムのバージョンアップによる作業費が発生すると思われますので、予算確保も必要です。

3.ユーザー情報の保存・管理方法

会員システムのあるサイトやキャンペーンサイトなど、特にユーザーのアカウント情報や個人情報を取扱うサイトでは、どのように情報の保存・管理が行われているかを確認しておきましょう。

ウェブサイトで使用しているシステム自体への攻撃は、残念ながら委託業者でない限り防ぐことはできませんが、万が一情報が漏えいした場合に備え以下の内容は把握しておきたいものです。

1.どのように情報が保存されているか
→ 暗号化されているか (暗号の方法)
2.委託業者では誰(どの部署)が自社の情報にアクセスできるか

先日、「宅ファイル便」が480万件以上ものアカウントを漏えいしたというニュースがありましたが、ユーザーパスワードは暗号化されずに保存していたことが発覚し、さらに大きな問題となりました。
これはパスワードを使い回しているユーザーはまだまだ多く、暗号化されていないパスワードが出回ることで二次被害のリスクが非常に高くなってしまいます。

なぜ、宅ふぁいる便は「暗号化」していなかったのか (1/3) – ITmedia NEWS

4.ログやバックアップなどの管理

ウェブサイトが攻撃された場合、サーバーログや復旧のためのバックアップがとても重要になります。定期的にメンテナンスをしておくとよいのですが、納品後委託業者とはとくにコンタクトをとっていないという企業も多く、まずはここから見直してもよいでしょう。

今回のまとめ

ホームページの管理は業者任せ!という方も多いかと思いますが、過去にインシデント発生時に業者が手に負えず逃げ出したという笑えないケースもありましたので、しっかりと確認しておきましょう。
ただ気をつけておきたいのは、もしインシデントが発生してしまった場合、責任のなすり合いではなく、協力して一刻も早く復旧することです。

次回は「サイバー攻撃を受けたら」について説明していきます。