皆さん、こんにちは。エンドルフィンズ代表の田上です。
最近、Webマーケター界隈で情報交換していた際に、実際に起こったサイバー攻撃の情報を仕入れましたので、この記事で紹介していきたいと思います。
この記事を読み終えると、Webサイトのセキュリティに関してあまりピンときていない人でも、どのようなリスクが潜んでいるのか、手触り感を持って理解できるようになっていると思います。
また、そうしたサイバー攻撃を防ぐためにどのようなポイントに気をつけるべきかも理解できるかと思います。
では、実際に最近発生したサイバー攻撃の事例紹介、及びWebセキュリティに関する重要性について解説していきたいと思います。
目次
年々増加するサイバー攻撃
まず、現状としてWebサイトに関するセキュリティ対策を何も行なっていないという事業者の方は、早急にセキュリティへの投資を考えることをお勧めいたします。
上の図は、2020年に総務省が発表した「サイバー攻撃の最近の動向等について」という資料の中で紹介されている1年間のサイバー攻撃の推移です。
コロナ禍の影響やクラウドサービスの発展と共に、セキュリティの脆弱性を狙ったサイバー攻撃は増加の一途を辿っています。
それらサイバー攻撃の被害に遭い、顧客の個人情報が流出し多額の謝礼金を支払わざるを得なくなった事例や、企業Webサイトの内容が書き換えられ、不適切な情報が掲載されてしまったり、十数時間Webサイトを公開停止せざるを得ない状況になってしまった事例など、損害を伴う被害事例を挙げると枚挙に暇がありません。
一方、Webサイトの制作現場で働く我々に寄せられる制作依頼の中には未だに、Webサイト構築後の保守・運用について全く考慮されていない案件も多く、普段からセキュリティ関連リテラシーの向上のための啓蒙活動を行なっています。
最近あったサイバー攻撃の具体例
ただし、セキュリティと言われても実際に体験したことがなかったり、具体的にどのようなリスクがあるのかイメージが付きづらいという方が大半だと思うので、最近マーケター界隈で情報共有されたサイバー攻撃の事例を紹介したいと思います。
まず、今回行われたのは、Webサイトにある「お問い合わせフォーム」の自動返信機能を悪用されたサイバー攻撃になります。
下の図をご覧ください。
今回、A社のWebサイトに設置されていたお問い合わせフォームには、お問い合わせ内容をユーザーに対して確認するための自動返信機能がついていました。ユーザーがお問い合わせフォームに、自分のメールアドレスや、お問い合わせ内容を入力し送信すると、Webサイトに組み込まれた自動返信機能が、①フォームに入力された内容をそのまま転記し、返信メールを作成、②フォームに入力されたメールアドレスに対して自動返信する、という仕様になっていました。
今回行われたサイバー攻撃は以下の図のように、この①、②の仕様を悪用したものでした。
悪意を持ったユーザーは、まずフォームのメールアドレス入力欄に、別の人物のメールアドレスを入力し、フォームの本文に怪しいサイトに繋がるURLを掲載した上でお問い合わせをします。
すると、A社のフォームはその内容を入力されたメールアドレスに対して、怪しいサイトに繋がるURLを記載したメールを自動返信することになります。メールを受け取った人は、悪意を持ったユーザーからのメールではなく、A社からのメールだと認識しURLを押しやすくなる、というものです。
実際は、悪意を持ったユーザーは問い合わせを自動で行うプログラムを開発し、数分間に数百件のメールを送信する仕組みにしていたようです。
この場合、まずA社は知らない内に信用を毀損したり、返信メールが送られてしまった先の人に実害を生じさせるリスクを孕んでいます。
また、短時間に数百通もメールが送られてしまうため、サーバーの負荷が上がり、Webサイトが表示されなくなってしまう、といったリスクにも晒されています。
以上が最近発生したサイバー攻撃の詳細ですが、悪意のあるユーザーは日々、あらゆる種類・手法のサイバー攻撃を生み出しています。実際にこのような攻撃を仕掛けられた時に、自分の会社は大丈夫だろうか?適切に対応できるのだろうか?と不安を感じられる方も多いのではないでしょうか。
サイバー攻撃に対する対策
では、実際にこうしたサイバー攻撃から自社のWebサイトを守るにはどういった手段があるのか、代表的な施策を紹介していきたいと思います。
ボット判定ツールの導入
上記のような、自動でメールを送信するプログラムのことを俗に「ボット」と呼びます。
そのようなボットがWebサイトを訪れ、悪意のもった行動を行わないかを監視してくれるツールとして、Google社が無料で提供している『reCAPTCHA』というサービスがあります。
Googleのアカウントを作成し、こちらのreCAPTCHAを設置すれば、Googleが自動でボットかどうかを判定し、怪しいと思ったユーザーの行動を制御してくれます。
こちらは弊社も、弊社のクライアントのサイトも標準で設置していて、かなり高精度でボットによる攻撃を未然に防いでくれているという実感を持っています。
SSL化
次に、SSL化です。
こちらは以下の参考記事に詳細を譲りたいと思いますが、Webサイトから送信されるお問い合わせ内容等を盗み見されたり、内容を改ざんされたりするリスクを回避する手法の一つです。
自社のWebサイトのURLがhttpsになっているかどうかで判別できるので、httpのみの場合は、SSL化をされること推奨しています。
サーバーの安全性を見直す
クライアントによっては、十数年前にWebサイトを制作したきり、サーバーもWebサイトもメンテナンスを行なっていないといった先や、サーバーも安さで決めたといった先が多い、というのも実感としてあります。
サーバーによっては、上記のような攻撃を感知する機能が設置されているものや、海外からのアクセスを遮断する機能を持ったものなど、セキュリティ上のリスクに応じて対策を講じているものが多く出てきています。
自社の業種・業態に応じて晒されるであろうリスクを洗い出し、安全性の高い運用体制を構築するためにも、サーバーは相応のものを選択することをお勧めしています。
もし、今採用しているサーバーが古いものであったり、安さを基準で選んだものであれば一度サーバーの安全性を見直すことをお勧めします。
サーバーのシステムバージョンを常に最新の状態に保つ
前項とも関連してきますが、サーバーもプログラムで動いているので、そのプログラム基盤は常に進化しています。
当然昨今のサイバー攻撃の増加傾向を受けてサーバー側もセキュリティ対策を頻繁にアップデートしています。
そうしたサーバーのシステムバージョンが更新された際に、古いものを使い続けていると当然サイバー攻撃を受ける確率や、被害範囲が拡大してしまう恐れがあります。
常に、サーバーのシステムバージョンを最新の状態に保つことが大切です。
WordPress関連のバージョンを常に最新の状態に保つ
多くの事業者がWordPerssでWebサイトを構築していると思います。
こちらのWordPressのシステム自体、テーマ、プラグインなどを常に最新の状態に保ちましょう。
こうしたシステムやプラグインといったプログラムも常にアップデートを続けていますし、度々脆弱性(セキュリティ上の穴のようなもの)が発見されたという情報が流れてきます。
常に最新の状態に維持しておかなければ、そうした脆弱性をつかれて顧客情報の流出や上記のようなサイバー攻撃の対象になってしまうので、注意が必要です。
簡単ではありましたが、代表的なセキュリティ対策の例を紹介させていただきました。
Webセキュリティに関する重要性について、まとめ
今まで、Webサイトのセキュリティといわれてもピンときていなかった方でも、身近に起こりうることだということをご理解いただけたのではないかと思います。
こうしたセキュリティ対策や、日々の監視、システムバージョンのアップデートなど、社内のリソースで対応できる企業は大丈夫かと思いますが、自社では忙しくて手が回りそうにないとか、リテラシーを持った人材がいないといった場合には、「保守・運用」という形でプロの事業者に外注化することが得策かと思います。
ぜひ、現状の自社Webサイトを見返していただき、セキュリティ面の不安がないかをチェックされることを推奨いたします。
