サイトが更新できない、SSL証明書が切れた、誰に相談すればいいの?そんなWeb運営の「困った」に応える保守サービス情報ブログ。更新・セキュリティ・不具合対応など、実例と共に解決策をご紹介しています。

BT Support 通信

アイコンリンク

T.S.

なぜセキュリティ強化が必要?企業サイトの狙われやすいポイント

会社規模に関わらず、企業サイトは狙われやすい!

こんにちは!ブランディングテクノロジーの保守サービスチームです。
日々、お客様のホームページを保守・監視している中で「セキュリティ」に関するご相談をいただくことが増えています。

「セキュリティ対策が必要なのはわかっているけれど、具体的に何をすればいいのかわからない」
「うちの会社は小規模だし、狙われることなんてないのでは?」

そんな声もよく耳にします。
しかし、現実は規模の大小に関わらず企業サイトは狙われやすいのです。
今回は、実際に発生したトラブル事例を交えながら、狙われやすいポイントと有効な対策を具体的にご紹介します。

目次

■なぜ中小企業サイトも狙われるのか?

■トラブル事例

■企業サイトが狙われやすいポイント

■まとめ

■ なぜ中小企業サイトも狙われるのか?

セキュリティ攻撃と聞くと「大企業や有名サイトが標的になるのでは?」と思われがちです。
ですが、攻撃の多くは「自動化されたボット※」によるもの。特定の会社を狙っているわけではなく、世界中のサーバーやホームページを無差別にスキャンして弱点を探しているのです。

つまり「セキュリティ対策をしていないサイト=誰でも侵入できる空き家」と同じ状態。
企業規模に関わらず、脆弱性があれば攻撃対象になります。

※ボット・・・「ロボット」が語源。特定の作業を自動で実行するコンピュータプログラムのこと。

■トラブル事例

  • 事例1.改ざんされたホームページからウイルス配布

コーポレートサイトに、普段とは違うバナー広告が勝手に表示されていました。調べてみると、外部から侵入されてサイトのHTMLファイルに不正なコードを埋め込まれていたのです。

そのコードは、訪問者のパソコンにウイルスを仕込む仕組みでした。幸い早期に発見して被害を防げましたが、もし長期間気づかず放置していたら、サイト利用者にも被害が及び、企業の信用は大きく失われていたでしょう。

原因:
・CMSのバージョンが古く、既知の脆弱性を突かれた
・管理画面のパスワードが弱く、総当たり攻撃で突破された

  • 事例2.WordPressの管理画面への不正ログイン

中小企業でよく使われるWordPress。便利ですが攻撃対象になりやすいCMSでもあります。
あるお客様では、管理画面のログイン試行が1日に数千回も行われていました。幸い二段階認証を導入していたため被害は出ませんでしたが、もし単純なパスワードだったら侵入を許していたかもしれません。

原因:
・「admin」など初期設定のユーザー名を使っていた
・二段階認証を設定していなかった

■企業サイトが狙われやすいポイント


では、具体的にどんな部分が攻撃者に狙われやすいのでしょうか?

1. CMSやプラグインの脆弱性

WordPress、EC-CUBEなどのCMSは便利な反面、世界中で利用されているため攻撃の対象になりやすいです。
特に、古いバージョンや放置されたプラグインは「攻撃の入り口」になりやすいポイントです。

2. パスワード管理の甘さ

「123456」「password」など推測されやすいパスワードを使っていると、総当たり攻撃で簡単に突破されます。
さらに、複数のサービスで同じパスワードを使い回すと、一つが漏洩しただけで連鎖的に被害が広がります。

3.SSL非対応の通信

いまだに一部の企業サイトでは「http://」のまま運用しているケースがあります。暗号化されていない通信は盗聴・改ざんされやすく、個人情報の漏洩リスクがあります。

4.ファイルアップロード機能

お問い合わせフォームや採用エントリーフォームでファイルをアップロードできる仕組みを入れている場合、不正なプログラムを仕込まれるリスクがあります。適切な制御をしないと「踏み台サーバー」にされてしまいます。

5.更新・監視の不十分さ

「ホームページは公開して終わり」という状態は非常に危険です。
定期的に脆弱性診断やアクセスログの確認をしていないと、気づかないうちに攻撃を受け続けていることもあります。

■ 保守サービスチームでおこなっている具体的な対策


弊社でおこなっている対策方法と予防策をご紹介します。

1.CMS・プラグインの定期アップデート

・WordPressやプラグインは常に最新バージョンを利用

・不要なプラグインは削除

・アップデート前には必ずバックアップを取得

2.強固な認証設定

・推測されにくい複雑なパスワードを利用

・パスワードは定期的に変更

・二段階認証を導入し、万一突破されても不正ログインを防止

3.SSL(https)の導入

・SSLの有効期限切れ防止(更新管理)

・「常時SSL化」によりフォームやメールの安全性を確保

■ まとめ

セキュリティは「やらないリスク」が大きい

セキュリティ対策は「やるべき」と分かっていても後回しにされがちです。
しかし、一度トラブルが起きてしまうと ホームページ停止、メール不通、情報漏洩、信用失墜 といった大きなリスクにつながります。

重要なのは「自分たちは狙われないだろう」という考えを捨て、日々の小さな対策を積み重ねること。

もし「うちのホームページは大丈夫かな…」と少しでも不安を感じたら、ぜひお気軽にご相談ください。

投稿者プロフィール

T.S.
T.S.
2018年 ブランディングテクノロジー入社
趣味:キッチンカー巡り 
好きなもの:辛いもの・韓国料理等