こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
インターネットビジネスが広がりを見せるなかWebサイトの数も年々増加してきています。これと並行してWebサイトを狙った犯罪も増加しつつあります。ビジネス直結のWebサイトが狙われれば影響は計り知れないものがあります。Webサイトをサイバー犯罪から守るためには、どのようなアクションを取ればよいでしょうか?今回は、Webサイトをサイバー犯罪から守るためのポイントについて攻撃される理由も含め触れていきます。Webサイト管理者の方、これからWebサイトの立上げを検討されている方、是非この記事を参考にしていただければ幸いです。
サイバー犯罪で狙われやすいWebサイト
近年、Webサイトを狙ったサイバー犯罪が増加しています。これはサイバー犯罪の傾向が攻撃者の技術力を誇示することから、より利益を得る活動になったためです。Webサイトが狙われる要因は攻撃者側だけではありません。ここではWebサイト運営者側の要因についていくつか記載していきます。
公開=外部にさらされている
まず、Webサイトの配置です。Webサイトは外部に公開するため、インターネットに近い場所に設置されています。不特定多数の方からアクセスできるよう、外部に「さらされている」環境にあり、すなわち攻撃者としては最も攻撃しやすい環境にあります。また、ECサイトの台頭によりWebサイトで顧客情報や機密情報が扱われるようになったことも要因です。攻撃者側はその顧客情報や機密情報を搾取する為、これまで社内リソースにアクセスしなくてはならなかったことが、公開されているWebサイトで事足りるようになりました。
場合によっては加害者側になってしまうことも
制作・管理・運用しているWebサイトは「重要情報など扱っていないから大丈夫」と感じる方もいらっしゃると思います。しかし、公開されているサイトを乗っ取ることで、攻撃者側の攻撃ツールとして利用される可能性もあります。例えばBotツールを仕込まれてしまい、他のWebサイトを攻撃するツールとして利用される、Webサイト内にVirusを仕込まれてしまい、Webサイトを閲覧した方に被害を出してしまうケースもあります。
このようなケースの場合、直接何かをしたわけではなくとも、会社やビジネスへのダメージは計り知れません。加害者でなくともWebサイトのセキュリティ管理が不十分だったことや、顧客にダメージを与えてしまうことで企業イメージを大きく落としてしまいます。
原因の一旦はWebサイト管理者の甘い考え方にあり
Webサイト管理者の考え方の甘さから攻撃を許してしまうケースがあります。例えばID、Password管理ひとつとっても、いまだデフォルトパスワードや短いパスワードを利用している方もいらっしゃると聞きます。また暗号化などを一切していないサイトなども多くみられます。理由の一旦として、重要情報など扱っていないから攻撃などされないなどの考えから、対策をおろそかにされているしているケースがあります。
サイバー攻撃内容はどのようなものか?
重要情報の搾取やWebサイトの改ざん
よくある手法として、重要情報の搾取やWebサイトの改ざんによる不正な情報収集です。ECサイトやお問い合わせサイトなどには顧客情報や企業の製品情報などが管理されているケースがあります。例えば、顧客のカード情報や債務情報などです。売り渡された情報はカードの不正利用やヤミ金の顧客情報などに利用されます。
Webサイトを改ざんし、情報収集するための不正サイトに誘導する方法もあります。いわゆるフィッシングサイトと呼ばれる方法です。お客様に個人情報を入力してもらえるよう、企業サイトのリンク先を改ざん、不正な入力サイトに誘導し、情報を搾取する方法です。これにより情報を搾取します。
Webサイトを乗っ取り犯罪に利用されるケースも
Webサイトを乗っとり、Webサイト経由で犯罪を行うことで、犯罪者はあたかもなり代わりとして犯罪が行われたように仕向けます。例えば、他社の重要データを搾取する、ボットと呼ばれるツールをWebサイトにインストールし、他社Webサイトに攻撃をしかけるなど、様々な手段があります。Webサイトを乗っとることであらゆる犯罪が可能となり、その加害者が御社になってしまう可能性すらあるのです。
サービスWebサイトであれば利用者にも影響が
先ほどもお話ししましたとおり、搾取される情報にはお客様情報も含まれており、その情報は犯罪などに利用されるケースが多くみられます。例えばクレジットカード情報は不正な買い物や、お金を搾取されるケースもあります。顧客情報は悪徳セールスなどに利用する可能性もあります。
情報を搾取されることは、御社だけでなく御社を信頼する顧客にも影響を及ぼすこともあるわけです。セキュリティ犯罪にあうことは、お客様へ多大なご迷惑をおかけする可能性もあるのです。そしてそれは信頼失墜という御社に多大なダメージを受けることになります。
サイバー犯罪に合わないためのサイト立上げ時に考慮すべき対策とは?
Webサイトに仕掛けられるサイバー犯罪がどのようなデメリットを生じさせるかイメージをお持ちいただけたのではないでしょうか。それでは、この問題に対してどのような対策行えば良いのでしょうか?はWebサイトを構成する、アプリケーション、サーバー、ネットワークについて対策ポイントを記載します。
アプリケーションの対策
不要データは保管しない
なによりまず、不要なデータは保管しないような構成としてください。狙われるべきものが配置さえされていなければ攻撃されるリスクを低減できます。
脆弱性を出さないようにする
例えば、不要な通信ポートは閉じる、パスワードは強固にするなど多数の項目があります。この中には、プログラミング開発時に考慮すべきものもありますので、開発時はこの手に強いプログラマに依頼することをおすすめします。
サーバーの対策
何より大事なのは攻撃できるスキをなくすことです。複雑なパスワード設定、不要なアカウント削除などはもちろん、不要なサービス、ポート、アプリケーションは削除するなどが挙げられます。また、定期的なセキュリティ監査を受けることもおすすめします。攻撃パターンは年々代わりますので、これによる対策箇所も大きく変わります。これらをすべて把握し対応することは困難であり、セキュリティのプロに委託する方が確実と言えます。
ネットワークの対策
最後はネットワークです。ネットワークでは出来るだけWebサイトに対するアクセスを絞り、監視することが必要です。具体的にはUTMやWAFなどを導入し、アプリケーションレベルでの通信監視と不正通信の検知、ブロックを行うことです。こちらも年々攻撃パターンは変わるため、可能であれば外部サービスを使った監視をお勧めします。具体的にはSOC等になります。
さいごに
Webサイト向けのサイバー攻撃が発生すれば会社やビジネスはもちろんのこと、顧客にも被害が及ぶ可能性があり、ダメージは多大なものがあります。攻撃内容は年々高度化しており対応には限界があります。サイバー犯罪にあわないよう出来る対策をしっかり行うことが重要です。セキュリティ対策の見直しに本稿がきっかけになれば幸いです。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
