2025.02.03
会社のWebサイトに仕掛けられた「罠」にご用心!
目次
今回は、会社のホームページ(以下、Webサイト)が危険な目に遭うかもしれない、という話を紹介します。
デジタル技術の進化により、最近では専門的な知識がなくても自社のWebサイトを作ることがとても容易になりました。便利なテンプレートや、不慣れな人でも直感的に操作できるツールが普及したことで、多くの中小企業でも低コストでWebサイトを持てるようになっています。
しかし、多くの企業が見落としがちなのが「管理や運用」の重要性です。
『Webサイトを作ったらそれで終わり』ではいけません。
管理が不十分な場合、どんなに素敵なWebサイトであってもサイバー攻撃者のターゲットとなり、時には悪意のあるプログラム(マルウェア)が仕込まれる可能性があるのです。最悪の場合、サイトを訪問した多くの人に迷惑をかけてしまうことが起こり得ます。
例えば、
・Webサイトを訪れた人のパソコンにこっそりとマルウェア(不正プログラム)が送り込まれ、ウイルスに感染する。
・個人情報や訪問者が閲覧していたサイトの情報が盗まれる。
などの被害が考えられます。
上記のような状況は、Webサイトを運営する企業にとって重大な危機です。
悪意をもった攻撃者は、皆さんの会社のWebサイトに「罠」を仕掛けることがあります。そして、訪問者は気づかないうちにその罠にかかってしまいます。これを「クロスサイトスクリプティング攻撃(XSS攻撃)」と言います。
XSS攻撃とはどのような攻撃か
XSS攻撃とは、攻撃者がWebサイトに「不正なプログラム(罠)」を仕掛ける攻撃のことです。
攻撃者は、Webサイトの脆弱性を利用して悪意のあるコードをサイトに埋め込み、そのWebページを閲覧した不特定多数のサイト訪問者に不正プログラムを実行させます。Webサイトを訪れた人がその罠に引っかかると、個人情報が盗まれたり、パソコンがウイルスに感染したりする危険性があります。
また、罠はこっそりと仕掛けられるため、企業側が自社のWebサイトに罠が仕掛けられたことに気づくのが遅れがちです。
XSS攻撃を受けるとどのような影響があるか
もし会社のWebサイトがXSS攻撃を受けると、以下のような深刻な影響が生じる可能性があります。
(1)ブランドイメージの損傷
「あの会社のWebサイトを見ると、変なサイトに飛ばされて危険だ」「ウイルス感染の原因になった」などの噂が広がれば、企業の信頼性は一気に損なわれます。
その結果、顧客離れはもちろん、取引先からの取引停止などの可能性があります。
(2)顧客情報の漏えい
Webサイトに「お問い合わせ」ページを作っている会社も多いと思います。しかし、このお問い合わせフォームやクレジット決済ページを通じて集めたお客様の情報が、攻撃によって盗まれる恐れがあります。そうなった場合、顧客対応や法的責任など多大なコストが生じることとなります。
【XSS攻撃の事例】
2024年10月、タリーズコーヒーの公式サイトが3年間にわたりXSS攻撃を受けていたことが報じられました。
同社の会員登録ページがXSS攻撃の対象となり、攻撃者によって不正なプログラムが仕込まれた状態が続いていました。この攻撃は3年間発覚せず、長期間にわたり顧客の個人情報(氏名や住所、クレジットカード番号など)が盗み取られていました。
XSS攻撃は、不正プログラムが仕掛けられても企業側が気づかないことが多く、大企業であっても被害を受ける可能性が高いことを示しています。実際に、数年間にわたり情報が抜き取られていた事例が頻繁に起きています。
XSS攻撃への対策
では、どのようにしてXSS攻撃からWebサイトを守ればいいのでしょうか。
企業側は適切な予防と継続的な管理が欠かせません。以下に推奨される対策をまとめました。
(1)セキュリティに配慮したサイト構築
Webサイトを構築する段階でセキュリティ対策を組み込むことが重要です。
例えば、独立行政法人情報処理推進機構(IPA)では、「安全なウェブサイトの作り方」というWebページを公開しており、その中に、XSS攻撃に遭いにくくするWebサイトの作り方という項目が掲載されています。
Webサイト構築を業者に依頼する場合、上記のページを見せて「ここに書かれている対策はやってほしい」と伝えることが有効です。あるいは、こうした情報を参考に具体的な対策や要望を伝え、安全な設計を目指しましょう。
(2)保守契約の締結
『Webサイトを作ったらそれで終わり』ではなく、作成後も、サイトを安全に保ち、常に最新のセキュリティ対策を行うことが重要です。そのためにもWebサイトを作成した業者と保守契約を結び、脅威に対応し続ける体制を整えましょう。
(3)ログ管理とアクセス監視
攻撃者は、Webサイトを自由自在に書き換えられるように、管理者になりすましてこっそりWebサイトにログインしようとします。
誰がいつWebサイトの管理システムにログインしたのかを定期的にチェックし、不審な挙動を見逃さないことが大切です。
「この日にログインした記録があるけど、誰もログインしてないはずなのに…?」という時は、要注意です。
Webサイトは今や企業の顔であり、デジタル時代におけるビジネスの重要な資産です。
しかし、適切な管理や防御の仕組みがなければ、それは大きなリスクを内包する存在にもなり得ます。
XSS攻撃は、あなたのWebサイトにとって深刻な脅威ですが、適切な対策を講じることで、そのリスクを大幅に軽減することができます。
セキュリティは一度設定して終わりではなく、継続的な努力が必要です。
この機会にセキュリティ対策を見直し、しっかりとした防御を築きましょう。