ホームページのセキュリティ対策の重要性を昨今の情勢を踏まえて解説します

ホームページのセキュリティ対策について

セキュリティ対策とは、外部からのサイバー攻撃を防ぎホームページを通じた情報漏洩を守るための対策を指します。インターネット上で公開され、多くの人に閲覧されるホームページにはセキュリティ対策が必須です。セキュリティ対策の重要性について解説します。

なぜセキュリティ対策が必要なのか

セキュリティ対策の行われていないホームページには、セキュリティ上の欠陥である脆弱性（セキュリティホール）が発生します。脆弱性を狙って仕掛けてくるさまざまな攻撃がサイバー攻撃です。

サイバー攻撃を受けると、情報漏洩やホームページの内容改ざんをはじめとしたさまざまなトラブルが発生します。ホームページを構築しているシステムやプログラムなどは人の手によって作られているため、どうしても脆弱性が発生します。サイバー攻撃からホームページを守るためにも、セキュリティ対策が必要となるのです。

なおサイバー攻撃の種類や、サイバー攻撃によって発生するトラブルやリスクについては後ほどくわしく解説します。

オンラインショップのセキュリティ対策についてはこちらの記事でくわしく解説しています。

オンラインショップのセキュリティ対策とは？重要性や対策方法、被害事例を紹介

大企業だけではなく中小企業も対策が必要

「サイバー攻撃を受けるのは大企業のホームページのみでは？」という考えから、セキュリティ対策をしていない中小企業の担当者や個人も多いです。

IPA情報処理推進機構実施の「2021年度 中小企業における情報セキュリティ対策に関する実態調査」では、情報セキュリティ対策への投資を行っていないと回答した中小企業は30％に上ります。なぜ情報セキュリティを行っていないかの理由は、「必要性を感じていない」がもっとも多い40.5%となりました。

実は近年サイバー攻撃は、中小企業をターゲットにした事例も増加しています。大阪商工会議所実施の「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」では、実際にサイバー攻撃の被害を受けた中小企業の回答で、標的型攻撃メールの受信が18％、ランサムウエアによる被害が7％と、中小企業でもサイバー攻撃の被害にあっていることが分かりました。

特に中小企業は大企業よりもセキュリティ対策が甘いと判断され、サイバー攻撃の標的になりやすいです。企業の規模や個人・法人に関係なく、ホームページへのセキュリティ対策は必須と言えるでしょう。

サイバー攻撃について

サイバー攻撃は近年増加傾向にあります。サイバー攻撃の概要や現状、具体的な種類について解説します。

サイバー攻撃とは

サイバー攻撃とは、ホームページを構成するシステムやプログラムなどの脆弱性を狙って仕掛ける攻撃です。脆弱性は設計上のミスや欠陥が原因のため、気が付かないところで発生していることもあります。

攻撃者は脆弱性を狙ってサイバー攻撃を行います。サイバー攻撃を受けると、「クレジットカード番号などの個人情報を盗み出す」「不正アクセスによってページやコンテンツの内容を改ざんする」などの大きな損失やトラブルが発生してしまうでしょう。

急増するサイバー攻撃の脅威

サイバー攻撃は年々増加傾向にあります。国を標的にしたサイバー攻撃も急増しており、かねてよりサイバーセキュリティ対策の強化を訴えている自民党の高市早苗議員は、「4年前（2017年）の衆議院選挙の時には、1日平均3億9000万回でした。昨年（2020年）の1年間で海外から日本へのサイバー攻撃は、1日平均13億6600万回です」と2021年9月の所信表明演説で発言しています。

国を標的にしたサイバー攻撃は、国の医療、航空、鉄道、電力、ガス、水道、金融、クレジットの分野へ甚大な被害を与えます。

2022年10月には「大阪急性期・総合医療センター」が特定できない発信元から身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃を受け、システム障害が発生しました。センターと接続する給食委託業者のサーバーを通じてシステムに侵入されたとみられています。すでに手術は一部再開したものの、電子カルテシステムは依然として使えないため、2022年11月現在一般外来業務は停止したままです。※2023年1月4日にシステムがほぼ復旧、外来受付を再開。

さらに、2023年1月3日に東京都渋谷区の公式Webサイトが閲覧しにくい状態となり、国際的ハッカー集団「アノニマス」によるサイバー攻撃を受けたとみられています。

国民のライフラインや財産、命を守るために日本のサイバー防衛体制の樹立が急務と言えるでしょう。

サイバー攻撃の種類

サイバー攻撃には、以下の手口があります。

• XSS（クロスサイトスクリプティング）
• SQL（SQLインジェクション）
• 総当たり攻撃（ブルートフォースアタック）
• ランサムウェア

XSS（クロスサイトスクリプティング）

「XSS（クロスサイトスクリプティング）」とは、ホームページのお問い合わせフォームなどに不正なJavaScriptを埋め込む攻撃手段です。

ホームページの訪問者の情報をブラウザに保存しておく仕組みにCookieがあります。XSSによって訪問者のCookie情報をサイバー攻撃元へ自動送信するJavaScriptを埋め込まれると、氏名や住所、クレジットカード情報などを盗み取られてしまうことになります。得たCookie情報がオンラインショップで高額商品を購入されるなど、悪用されることにもなるでしょう。

さらに、XSSによってホームページの更新や変更を行う際に必要となる、サーバーへのログイン不要でホームページの内容を変更できてしまいます。「訪問者をフィッシングサイトへ誘導する」「訪問者にウイルス感染させる」などの内容へホームページが改ざんされてしまうリスクもあるのです。

SQL（SQLインジェクション）

「SQL言語」とは、データベースを操作する言語です。「SQL（SQLインジェクション）」とは、悪意のあるSQL言語を挿入することで、データベースを不正に操作する攻撃方法です。おもに企業のお問い合わせフォームなどから悪意のあるSQL文を混ぜて送信します。

たとえば「お問い合わせフォームから送信された会員情報をこちらに送信する」というSQL分をデータベース側が受け取ってしまうと、蓄積された会員情報がサイバー攻撃の発信元へ提供されてしまいます。XSSと同じく、ホームページの内容の改ざんも可能です。

総当たり攻撃（ブルートフォースアタック）

「総当たり攻撃（ブルートフォースアタック）とは、ログインIDやパスワードを大量に作成し、ヒットしてログインできるまで文字列のパターンを変えて試す攻撃方法です。特に「アルファベットのみ」「異なるサービスで共通のパスワードを使っている」などの単純場パスワードのときには、すぐにヒットされてしまうリスクがあります。

ランサムウェア

「ランサムウェア」とは、「身代金型」と呼ばれるウイルスに感染させる仕組みです。ランサムウェアに感染したパソコンやスマートフォン、システムはロックされてしまい、「解除してほしければ入金をしろ」という指示が入るようになります。

SQLやXSSによってサーバーへ不正侵入したあと、訪問者をランサムウェアで感染させる仕組みをホームページに不正に組み込む手口も多くなっています。

経済産業省と金融庁による注意喚起

急増するサイバー攻撃による問題は年々深刻化しており、国としても注意喚起が行われていますす。

2022年4月、経済産業省は各企業や団体に対して、金融庁は金融機関に対してサイバー攻撃の脅威に対する認識を深めると同時に、国外拠点も含め以下のセキュリティ対策を講じるように注意喚起を行いました。

• リスク低減のための措置（本人認証の強化、情報資産の保有状況の把握とセキュリティパッチの適用、組織内への通達）
• インシデントの早期検知（サーバ等の各種ログ確認、通信の監視・分析、アクセスコントロールの再点検）
• インシデント発生時の適切な対処・回復（データのバックアップの実施、復旧手順確認、インシデント認知時の対処手順の確認）

※参考：経済産業省「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について」

Webサイトの脆弱性やセキュリティ対策の不備によるトラブル事例

サイバー攻撃を受けると、大きなトラブルや被害が発生します。実際にサイバー攻撃によって起こってしまったトラブル事例を紹介します。

Webサイトの情報が改竄（改ざん）されてしまう

SQLやXSSなどの手口により、サーバーに不正アクセスされた結果以下のようにWebサイトの情報が改ざんされてしまう事例が多く発生しています。

• ページ内に身に覚えのないコンテンツが表示される
• サイトが全く表示されない
• サイトにアクセスした訪問者をウイルスに感染してしまう

サイト内検索にスパム攻撃をされてしまう

スパム攻撃とは、迷惑なメッセージやメールを大量に送信する行為のことです。WordPressでWebサイトを構築している場合、「サイト内検索」のパーツを設置していることも多いでしょう。このサイト内検索を使って大量の悪意のあるアクセスを行うことで、身に覚えのないURLを大量にインデックスさせます。その結果、Webサイトの評価を下げてしまうのです。

Webサイトの評価が下がるとGoogleなどの検索結果に上位表示されなくなる、表示そのものがされなくなるリスクがあります。Webサイトへの訪問者数が激減し、企業の利益にも影響が出るでしょう。

怪しい懸賞サイトにリダイレクトされてしまう

訪問者を不正なサイトへ誘導するプログラムを仕組まれた事例もあります。SQLやXSSによって不正に改ざんされたWebサイトに組み込む事例もあれば、広告ネットワーク経由で誘導してしまうパターンもあります。

不正なサイトの例は、以下のものがあります。

• 「システムが破損しました」「ウイルスに感染しました」などの警告文の表
• 「あなたは●●に当選しました」などの偽の懸賞サイトへの誘導

訪問者の不安や幸運を利用し、騙すことで不正なソフトウェアのインストールやクレジットカード情報の入力などをさせる手口です。

不正アクセスによって起こりうる影響

サイバー攻撃による不正アクセスを受けると、多くの悪影響が発生します。企業にとっても大きなリスクやデメリットとなる悪影響について解説します。

企業としての信用失墜につながるリスクがある

サイバー攻撃を受けると、Webサイトの情報改ざんや、蓄積していた顧客の情報漏洩などが発生します。その結果、セキュリティ対策を行っていなかった企業というマイナスイメージを持たれることになります。

規模の大きさによってはテレビニュースなどのメディアに取り上げられ、広く社会に知れわたることになるでしょう。企業イメージが大きく損なわれることで、商品やサービスが売れなくなる、取引先から取引を打ち切られるなどの損害が発生します。

一度失った信頼を回復させるのはかんたんではありません。サイバー攻撃は、積み重ねてきた企業としての信頼を失わせるリスクも持っています。

検索結果に表示されなくなる可能性がある

不正アクセスやサイバー攻撃は、ホームページやWebサイトそのものの評価を下げてしまう原因となります。

Googleでは、「Google ウェブ検索のスパムに関するポリシー」にて「検索結果に表示されるには、、Google 検索の全体的なポリシーおよびスパムに関するポリシーに準拠している必要がある」としています。これは、閲覧するユーザーに不快感を与える可能性のあるサイトやページを検索結果から除外するのが目的です。

スパムに関するポリシーに反すると判断されるサイトやページ、コンテンツの代表例を以下にあげます。

• クローキング（検索ランキングの操作やユーザーへ誤解を与えることを目的に、検索エンジンと異なるコンテンツを表示するサイトやページ）
• 誘導ページ（特定の類似検索キーワードにて検索結果の上位表示を目的に作成されたサイトまたはページ）
• ハッキングされたコンテンツ（不正アクセスによって自動生成されたコンテンツや情報改ざんが行われたコンテンツの設置）
• 隠しテキストとリンク（ユーザーには見えにくいコンテンツをページやサイトに配置して、検索エンジンを操作する行為）
• キーワードの乱用（ウェブページにキーワードや数字を詰め込み、検索エンジンを操作する行為）
• リンクスパム（検索エンジンの操作を目的としたリンクを設置）
• 機械生成トラフィック（Google への自動生成クエリの送信など、ユーザーに最適なサービスを提供する妨げとなる行為）
• マルウェアや悪意のある動作（ユーザーに不快感を与えるマルウェアやソフトウェアの設置）
• 不正なリダイレクト（最初にリクエストしたURLとは別のURLにユーザーを移動させる行為）

不正アクセスやサイバー攻撃によってコンテンツやサイト、ページの改ざんや悪意のある仕組みが設置されると、Googleのスパムに関するポリシーに反すると判断され、Webサイトの評価が下がってしまいます。その結果、検索結果に表示されなくなりWebサイトからの収益や集客はのぞめなくなってしまうでしょう。

Googleのスパムアップデートとは？高品質なWebサイトを制作するために知るべきこと

セキュリティ対策の手段

サイバー攻撃を受けることで、企業としても信頼の損失をはじめとした多くの損害を出してしまいます。サイバー攻撃を防ぐためのセキュリティ対策を早急に講じましょう。具体的なセキュリティ対策のための手段を方法を紹介します。

レンタルサーバーの機能を利用したセキュリティ対策

レンタルサーバーを契約してホームページの運営を行っている場合、レンタルサーバー側でセキュリティ対策のための機能や取り組みが用意されていることがあります。

たとえば「エックスサーバー」と「さくらのレンタルサーバ」では以下のセキュリティ対策が行われています。

エックスサーバー

• ファイアウォールやIDS（不正侵入検知システム）などによる監視
• 外部企業による定期的な脆弱性診断の実施

さくらのレンタルサーバ

• 不正ファイル設置を検知すると、確認できる限りのすべてのファイルのパーミッション（場合によってはドキュメントルート（/home/アカウント名/www）のパーミッション自体）を “000” に設定し、アクセスをブロック
• メールサーバーのブロックリストに不正に登録された場合の調査と解除申請
• パスワードの漏洩を検知すると、事前に予告なくパスワードを変更

CMSのセキュリティプラグインなどを利用

WordPressやEC-CUBEなどのCMSでホームページを構築している場合は、以下のような専用のセキュリティプラグインを利用できます。

WordPress

• SiteGuard WP Plugin
• Google Authenticator
• All In One WP Security & Firewall
• iThemes Security
• Wordfence Security
• Akismet

EC-CUBE

• reCAPTCHA v3 for EC-CUBE4.2
• 管理画面セキュリティ向上プラグイン
• エラーのメール通知、履歴確認プラグイン
• reCAPTCHAプラグイン（会員登録・会員情報編集・お問い合わせ・注文手続き）
• 連続○○で□□制限
• ログイン時パスワード表示プラグイン
• パスワードポリシー
• IPアドレス制限プラグイン

特にWordPressは世界でもっとも利用されているCMSで、全世界のホームページの43％がWordPressで構築されているというデータもあります。多くの人に利用されているがゆえに、世界で最もサイバー攻撃を受けやすいCMSとも言えます。サイトの運営者はもちろん、閲覧者にも被害が及ばないように、しっかりとしたセキュリティ対策が必須です。

信頼できる制作会社の保守サービスを利用

WordPressなどを使用すればかんたんにホームページが構築できる一方、セキュリティ対策も自分で行わなければいけません。たとえCMS側で脆弱性が出たとしても、セキュリティ対策をしていないとそこを狙ってサイバー攻撃をされてしまいます。

セキュリティ対策もしっかりとされたホームページを構築したいなら、保守サービスも行っている信頼できる制作会社へ依頼するのもおすすめです。プロに任せることで、専門知識がなくても安心してホームページを運営できます。

ホームページの保守の重要性についてはこちらの記事で詳しく解説しています。

ホームページの保守って必要？作って終わりじゃない！費用相場や作業内容について解説

ホームページの保守サービスはチームNext!へ

ホームページのセキュリティの重要性やサイバー攻撃の手口、サイバー攻撃による被害の事例や受ける可能性のある悪影響、具体的なセキュリティ対策の方法を解説しました。すでにホームページを運営していてセキュリティ対策を行っていない場合、いつサイバー攻撃の標的となってもおかしくありません。早急に対策を行いましょう。

ホームページのセキュリティ対策を行う方法が分からない、時間がない…というときには、「チームNext!」が提供するホームページの保守サービスをぜひご利用ください。プロの手によりサイバー攻撃に強いホームページを構築します。既存のホームページへのセキュリティ対策も、ぜひお気軽にご相談ください。