ホームページの乗っ取りや不正アクセスに注意!具体的な事例を紹介
- 投稿日:2024年07月23日
- 作成者:takami.n
- カテゴリ:その他
近年、ホームページへの攻撃が相次いで報告されています。ニコニコ、KADOKAWAに対するサイバー攻撃によって個人情報や契約書が公開されたことが話題となり、自社のセキュリティについて見直しが必要と思いはじめた方もいるでしょう。
一方で、自社は大企業ではないから大丈夫だと思っていませんか。大企業ではなくても、不正侵入の踏み台にされるリスクはあります。また、ホームページの改ざんで、嘘の情報を掲載してしまう恐れもあります。
今回は、サイト職人で過去にお問い合わせのあった事例を参考に、具体的なセキュリティ対策についてわかりやすく解説していきます。
サイト職人でお問い合わせのあった事例紹介
まずは、サイト職人にお問い合わせのあった具体的な事例と有効な対策についてご説明します。
①メールアドレスの乗っ取り(不正送信)
問合せ:とある会社よりサーバーから、メールアドレスが不正送信に利用されている可能性があるとの連絡がありました。知り合いの会社からの連絡によって、メールアドレスの乗っ取りがあったことにすぐに気づくことができたとのことです。
対策:その会社は、すぐにパスワードを変更し、被害の拡大を防ぐ対策を行いました。
メールアドレスの乗っ取りとは
メールアドレスの乗っ取りとは、悪意のある第三者が不正な方法で他人のメールアカウントにアクセスし、許可なく違法な行為をすることです。このような乗っ取りが行われると、
社内情報の流出はもちろん、他のサービスを不正利用されたり、不正送金によって金銭的な被害に遭ってしまう可能性があります。
他にも、会社の人間になりすまして、悪意のあるメルマガを送信し、顧客からの信頼を失ってしまうということもあります。
メールアドレスの乗っ取りや情報の不正送信への対処法
実際に、メールアドレスの乗っ取りや情報の不正送信の被害が発生してしまった場合は、次の手順での対処が有効となります。
・ステップ1:メールアドレスの個人設定やアクセス状況を確認する
・ステップ2:新しくパスワードを再設定する
・ステップ3:既存顧客や関係者に対して、メールアドレスが乗っ取られていることを伝え、よくわからないファイルやURLはクリックしないように連絡する
・ステップ4:セキュリティツールを使って、問題を排除する
・ステップ5:問題が発見された場合は、パスワードを再設定する
メールの乗っ取りや不正送信は、早めの対策で被害の拡大を防ぐことができます。定期的にセキュリティ方法も見直して、システムでの強化も意識しながら会社の個人情報を守っていきましょう。
②ドメインへの不正アクセス
問合せ:ある日、サイト職人の管理画面にアクセスできないので、解決策を教えてほしいという連絡がありました。
対策:その後、システムに問題が発生していないか詳しく調べたところ、サーバ側に一時的な障害が発生していたことがわかりました。ドメインへ不正アクセスが行われたことが原因となって、サイト職人の管理画面にアクセスできない状態となっていたようです。不正アクセス対策として、自動音声でのコード取得の二段階認証を設定しました。
ドメインの不正アクセスとは
ドメインの不正アクセスとは、サイバー攻撃をする人が何らかの方法によってドメインのアクセス権を乗っ取ることです。ドメイン名は、インターネットの世界におけるホームページの所在地です。
本来、インターネット上にあるホームページの所在地を示す際は、数字のIPアドレスを伝えますが、数字のIPアドレスをURLに利用すると、言葉で簡単に伝えることができなくなってしまいます。そのため、「~.com」「~.net」などの言葉で伝えやすいドメイン名に変更し、ホームページの所在地を伝えることが一般的となっています。
ドメインが不正アクセスをされてしまうと、自社のホームページがサイバー攻撃の管理下に置かれてしまい、違法サイトへ誘導するための通路に変更されてしまいます。既存顧客が騙されて違法サイトに誘導されてしまうと、個人情報を盗まれてしまうのはもちろん、悪質なファイルをパソコンに送信されてしまったり、迷惑メールを配信されるなど、さまざまな被害が発生してしまいます。
ドメインの不正アクセスの被害に遭うと、どうなってしまう?
実際に、有名なアニメの公式サイトでは、ドメインが不正アクセスの被害が発生しています。ホームページが乗っ取られてしまい、公式サイトが正常に表示されない事態となりました。その間、公式サイトは別のゲームサイトへ誘導する書き換えが行われています。
ホームページにアクセスしたユーザーは、金銭的な被害を受けていないといわれていますが、「公式サイトが不正アクセスの被害にあった」と話題になってしまうため、会社への信頼という点については、一定の被害があるのは間違いないでしょう。
他にも、有名な新聞社で、ドメインの不正アクセスが発生しています。その会社が運営している電子版とホームページが被害に遭ってしまいましたが、乗っ取られたしまった時間が数時間~数日であったため、情報漏えいや不正アクセスによる被害はなかったとのことです。
ドメインの不正アクセスへの対処法
ドメインが不正アクセスに遭っている可能性がある場合は、「WHOIS」を使って登録情報をチェックしてみましょう。こちらのサービスは、株式会社日本レジストリサービスが提供しており、ドメインの検索機能を使って登録者情報や連絡先を簡単に調べることができます。
WHOIS
https://whois.jprs.jp/
WHOISを使うことで、ドメインの不正アクセスにすぐに気づくことができますが、ドメイン会社が提供しているドメインのセキュリティサービスを利用するというのも、安全性を高めるための有効な対処法となります。1,000円程度の支払いでドメインの書き換えを防ぐことができますので、被害の予防に有効です。
③ホームページの改ざん
問合せ1:先日、ブラウザの検索結果からショッピングサイトに誘導されているとの連絡がありました。実際に、その会社のトップページをチェックしてみると、その会社と全く関係のないショッピングサイトが表示されていました。
対策1:こちらについては、本番サーバが攻撃を受けていました。不正が疑われるファイルを削除することで、ショッピングサイトへの誘導がなくなりました。
問合せ2:トップページのソースに怪しいリンクがあるので確認してほしいという依頼がありました。
対策2:お客様に状況をお伺いし、ホームページをチェックしてみると、本番サーバのファイルが改ざんされていたことがわかりました。そのため、FTPパスワードを変更し、サイト職人から転送、改ざん前のファイルに上書きすることをご案内し、問題を解決できました。
ホームページの改ざんとは
ホームページの改ざんとは、悪意をもった第三者によってホームページ上にある情報を変更、削除されてしまうことです。実際に、ホームページが改ざんの被害に遭ってしまったら、次のようなことになってしまいます。
・ホームページ上に顧客の個人情報が表示される
・正しくホームページにアクセスできていても、別ページに誘導されてしまう
・ホームページへアクセスしてくれるユーザーに、悪意のあるファイルを送信してしまう
などのトラブルが起きる可能性が高くなります。ホームページの改ざんによってコンテンツを書き換えられた場合、偽の情報を公開することに繋がります。これは、ブラックハッカーたちの不正アクセスによって発生します。
改ざんされるということは、サーバ内に侵入されたことの現れで、企業としての信頼を失う可能性が高いです。改ざんされた企業は、被害者なのかもしれません。しかし世間の目は異なります。改ざんへの対策をしていなかった企業が大きく責められます。1度失った信頼を回復することは難しく、企業は大きな損害を抱えることになります。
ホームページ改ざんの被害事例は多い
ホームページの改ざんは、意外とたくさんのところで起きています。たとえば、2020年には、地方鉄道のホームページで改ざんが行われました。特定のページにアクセスすると、まったく関係のないカジノページが表示される事態となりました。
他にも、大手メーカー商品の参考価格を試算できるホームページで改ざんが行われました。実際に、特定のページにアクセスしてみると、悪意なファイルが送信される危険性が発生する仕組みとなっています。
ホームページ改ざんへの対処法
会社のパソコンのセキュリティレベルを高めるのはもちろん、ホームページ改ざんの被害にあった場合は、ホームページ自体を再構築するというのが最も有効です。
再構築しない限りは、悪質なファイルがシステム上に残ってしまい、それが継続的に悪さをしてしまいます。
実際に、ホームページの表示が正常に戻り、問題が解決したかと思ったら、数日後にまったく別のホームページへと誘導されてしまう事態が発生しています。
有効な対処法としては、データのバックアップを取得しておき、問題が起きる前のデータにすべて戻してしまう方法が有効です。
代表的な3つのサイバー攻撃
ブラックハッカーと呼ばれる人たちは、セキュリティの脆弱性を見つけてサイバー攻撃をしてきます。脆弱性とは、コンピュータ上にあるシステムの欠陥のことです。人が作り出すものには、必ず欠陥が存在します。100%完璧にできるものはありません。
そこを狙ってサイバー攻撃をしてきます。ここでは、代表的なサイバー攻撃について3つご紹介します。
クロスサイトスクリプティング(XSS)
サーバに送るデータの中に命令を埋め込み、データを表示させることをクロスサイトスクリプティングといいます。これを利用すれば、サーバにログインしなくてもページの表示や動作を変えることができます。
SQLインジェクション
サーバに送るデータの中にSQL文を埋め込み、データを表示させることをSQLインジェクションといいます。SQLインジェクションを利用すると、「おすすめのパソコンを探して!」という要求を、悪意あるSQLによって「おすすめのパソコンを探して!そして、自宅の住所やメールアドレスも教えて!」という要求になってしまいます。
もし、対策ができていなければ、勝手に個人情報が送信されるなどのトラブルが発生します。
クロスサイトリクエストフォージェリ(CSRF)
正規のアクセスから情報を抜き取り、そのまま他の処理を動かすことをクロスサイトリクエストフォージェリといいます。これを利用すれば、だれかになりすまして掲示板へ書き込むことができます。
他にも、身に覚えのないホームページでの商品購入や非公開にしていた記事の公開、パスワードの勝手な変更などが可能となります。非常に悪質性が高く、犯罪者が犯罪予告を書き込む際に、このサイバー攻撃が利用されます。
サイバー攻撃で発生する2つのリスク
ホームページやサーバの脆弱性を狙ってサイバー攻撃や不正アクセスが起きる以上、常にリスクを想定しておく必要があります。
対応の費用・時間
サイバー攻撃や不正アクセスを受けた場合、ただちに企業は対策をとらなければいけません。情報漏えいを止めるには、費用と時間がかかります。将来的な利益の喪失を考えれば、数千万円ではとどまらず数億円の被害が出るケースも少なくありません。
あまりにも被害が大きく、倒産せざるをえない企業も存在します。つまり、個人情報を受け取るということは、サイバー攻撃を受けるリスクを常に想定して、対策の術を勉強しておかなければいけないということです。
信用失墜
サイバー攻撃を受けると、信用失墜につながります。“情報漏えいをするような企業は、信用することができない。”と、膨大な苦情の電話が入るかもしれません。有料会員サービスを提供しているのであれば、数百数千件の解約依頼があるでしょう。
なにかトラブルが発生した場合は、いかにして信用失墜を避けるのか早急に検討しなければいけません。
不正侵入を防ぐ3つの方法
サイバー攻撃による被害を防御するには、不正侵入を防ぐ必要があります。その際、押さえるべきポイントは、ファイアーウォールやIDS/IPS、SSL化です。これらについて理解していれば、ホームページのセキュリティ性を高めることができます。
ファイアーウォール
ファイアーウォールとは、インターネットを通して侵入してくる不正アクセスから守る壁のことです。ファイアーウォールは、ホームページを閲覧するために必要な通信以外を遮断する機能を果たします。
IDS/IPS
IDSとはIntrusion Detection Systemの略称で、不正侵入検知システムのことです。異常通信を検知し、管理者へ通知することで対応のきっかけを作ることができます。
IPSとはIntrusion Prevention Systemのことで、不正侵入防止システムとも呼ばれます。こちらは、検知だけではなく、異常を検知した通信を遮断するところまでを行います。
具体的には、ホームページを閲覧する命令 http は正常ですが、それが頻発するDos攻撃などは異常な通信となり、防御されます。これにより、悪質な攻撃からシステムの安全を守ります。
SSL化
すでに、ご存じかもしれませんが、SSL化も非常に有効です。通信文を暗号化するため、通信文を読まれたとしても、ブラックハッカーからは詳細を知られることはありません。
改ざんを防ぐ3つの方法
ホームページの情報が改ざんされてしまったら、大きな被害が発生してしまいます。そのようなトラブルを防止するのであれば、ユーザ管理やアクセス管理、改ざん検知システムを利用してセキュリティ性を高めることが大切です。
ユーザ管理
まずは、ユーザ管理について見直しましょう。ID/PWDの管理体制に問題はないでしょうか?ホームページのPWDが簡単なものであるなら、今すぐPWDを変更した方が良いでしょう。
・10桁以上に設定する
・大文字や小文字を設定する
・記号を利用する
これらを意識するだけでも、安全性は非常に高くなります。特に、IDがadminのような安易なものに設定されているのであれば、不正アクセスを受けやすいため注意が必要です。
アクセス管理
全てのユーザに同等のアクセス権限やファイル権限を与えていないでしょうか。ユーザに適した権限を付与することは、改ざん・情報漏洩を防ぐことに繋がります。また、ID/PWDが盗まれたとしても、被害範囲をそのIDがアクセス可能な範囲に抑えることができます。
たとえば、記事公開エリアについては、セキュリティレベルを最大に高め、特定の1人しかアクセスできないようにしておけば、安全に運用しやすくなります。
改ざん検知システム
改ざんされても、改ざん検知システムを導入していれば、その問題に気づくことができます。改ざん検知システムは、ファイルサイズやタイムスタンプを比較し、異常があった際には管理者に通知を行います。
サイバー攻撃を防ぐ3つの方法
ホームページには、数多くのサイバー攻撃が繰り返されます。サイバー攻撃を未然に防ぐには、どのような対策が有効なのでしょうか。
クロスサイトスクリプティングやSQLインジェクション
サイバー攻撃では、クロスサイトスクリプティングやSQLインジェクションによる手段が横行していることを説明しました。この場合は、命令文を無効化する処理を入れると、トラブルの発生率を格段に抑えられます。
クロスサイトリクエストフォージェリ
掲示板へのアクセスや書き込みが容易であると、クロスサイトリクエストフォージェリによるトラブルの発生率が高くなります。そのためには、次の対処法が有効です。
・Refereチェックやパスワードの再入力
・画像認証の設定
・ワンタイムトークンの設定
このような方法で、何度も認証を促しましょう。たとえ、通信を乗っ取られたとしても次の処理ができないようにしておけば、トラブルの発生率や被害の拡大を十分に抑えられます。
WAF(Web Application Firewall)
ホームページやアプリケーションに特化したファイアーウォールのことを、WAFといいます。一般的なファイアーウォールは通信の種類で遮断していますが、WAFはホームページの閲覧に必要な通信を許可しつつ、データの中身をアプリケーションレベルで解析できるので、より確実なアクセスの監視が可能になります。
「プログラミングを利用すれば、高いセキュリティ性を維持できる。」と明言する方もいるでしょう。しかし、プログラミングには限界があります。
未だ発見されていない脆弱性もありますし、プログラムの改修により新たな脆弱性を生み出す可能性もあります。WAFを利用すれば、上記のリスクを遮断できる確率が上がります。
まとめ
大企業でなくても、セキュリティの脅威があることが分かっていただけたと思います。他人の個人情報を受け取り、お金を稼いでいる以上、「サイバー攻撃をしてくるブラックハッカーが悪いのだ。」という考えは、許されません。会社として、顧客情報を管理する以上は、それ相応のリスクを負うことになります。
気の緩みから、信頼を失わないようにするためにも常に対策について考えることが大切です。