ある日突然、ホームページが見知らぬ情報に書き換えられていた…
ホームページの管理者なら、想像するだけで背筋が寒くなります。

近頃、ランサムウェアなど、メールのセキュリティへの脅威がニュースになることが多く、注目度も上がっていますが、ホームページへのハッキング(攻撃/改ざん)の件数も増加の一途を辿っています。

メールによるウイルス感染の被害は、受信者を中心に限定的なケースもありますが、ホームページは不特定多数の閲覧者全員に、二次的、三次的に被害が拡大する可能性があります。

ホームページへのハッキングのパターン

【 1 】 FTPパスワードなどの脆弱性を狙うパターン

ホームページを更新する際に使用するFTPのID/パスワードを盗み出して悪用するパターンです。

英数字などで構成されるFTPのID/パスワードに対し、いわゆる「総当り攻撃」でさまざまな組み合わせを試行します。
そのときに、辞書に掲載されていそうな単語や、IDと同じパスワードを設定していると、簡単に盗み出されてしまいます。

また、メールによるマルウェア感染で、FTPのパスワードが流出してしまう場合もあります。
盗み出されたパスワードは、攻撃者によって自由に使われてしまい、結果としてホームページが改ざんされてしまいます。

【 2 】 Webアプリケーションの脆弱性を狙うパターン

WordPressなど、PHPなどのプログラムからデータベースに接続するWEBアプリケーションの脆弱性を悪用するパターンです。

「クロスサイトスクリプティング」「SQLインジェクション」などもこちらに含まれ、攻撃者がホームページに対して悪意のあるスクリプトを埋め込んだり、データベースに接続して不正に操作するなど、危険性の高いものが数多くあります。

特にECサイトなどには、データベースにお客様の個人情報が含まれていることが多く、情報漏えいなどで一気に被害が拡大します。

検索サイト「Google」の対策とは

ホームページへのハッキングによる被害件数が増加する中、大手検索サイトのGoogleは、利用者に対しての安全対策を強化しています。

具体的には、攻撃/改ざんを受けているホームページが見つかったら、Googleのデータベースに危険なサイトとして登録されます。

そのホームページが検索結果に含まれる場合、利用者がアクセスしないように危険なホームページとして表示されます。

この表示は、ハッキングへの対応が行われ、安全なホームページであるとGoogleが再認識し、データベースの情報が更新されるまで続きます。

Googleでは、ハッキングを受けた際の具体的な対応手順を公開しています。

→Google Developers - ハッキングされたウェブサイトに関するヘルプ

ホームページの管理者ができる対策とは

企業のホームページへのハッキングは、その企業への信用を失うことに直結します。
ホームページの管理者は、常にセキュリティへの対策を行っておく必要があります。

【 1 】 セキュリティの高いパスワードを設定する

FTPのパスワードには、できるだけ多くの文字数や、大文字小文字や記号のランダムな組み合わせなど、推測されにくいものを設定しておきましょう。

→ Zenlogicサポートサイト - FTPアカウントの設定

【 2 】 WEBアプリケーションの更新を行う

WordPressなど、WEBアプリケーションは脆弱性が見つかった場合、更新プログラムをリリースしています。

公式サイトなどで更新プログラムの情報をいち早く察知し、迅速に適用することが重要になります。

【 3 】 ファイアウォールを設定する

ファイアウォールとは、外部/内部のネットワークの境界で「防火壁」の役割を果たします。

ハッキングのような不正アクセスなど、あらかじめ登録されたパターンから外れる通信は、ファイアウォールが断してくれますので、大きな効果が期待できます。

→ WAF(WEBアプリケーションファイアウォール)