狙われやすいWebサイト（脆弱性の脅威と対策）～IPA NEWS vol.67より～

皆さんは、独立行政法人情報処理推進機構（IPA）が隔月で発行している「IPA NEWS」をご存知でしょうか？

IPA NEWS は、IPAの日々の活動内容や成果を紹介し、IPAの活動への理解および事業成果の普及推進等を図ることを目的とした広報誌です。IPA NEWSはIPAのホームページで公開されています。
最新号は2024年7月号（Vol.67）です。
中でも注目すべきは、「セキュリティのすゝめ」というコーナーです。毎号、セキュリティに関する重要な情報が掲載されています。

今回は最新号の「セキュリティのすゝめ 16―ウェブサイトの脆弱性の脅威と対策」から最新情報をご紹介します。大見出しは「サイトのセキュリティの弱点 「脆弱性」に今すぐ対応を！」となっています。さらには、「放置しておくとサイバー攻撃を招く恐れも…」となんともおっかなびっくりの言葉が続いています。

多くの企業がWebサイトを運営していることを考えると、今回のお話は非常に重要です。
ぜひ最後まで読んでください。


「セキュリティのすゝめ16」は、以下の３つのトピックスで構成されています。

（１）CMSの脆弱性を突き、サイトを乗っ取る事件も
（２）情報セキュリティ5か条で被害軽減を図る
（３）脆弱性対策は経営課題という認識を

CMSの脆弱性とは

最初の項目でいきなりCMSと出てきて、面食らった方が多いと思います。

CMSとは「コンテンツ・マネジメント・システム」の略称で、専門的な知識がなくてもブログのようにWebページの作成や公開、更新が誰にでも簡単にできるシステムのことです。
代表的なものにWordPressやWixが挙げられます。

CMSにはブラウザの拡張機能のように、Webサイトの管理・更新をしやすくするためのプラグインという追加機能があります。お問い合わせフォームなどはプラグインで設置される代表例です。

これらのCMSやプラグインには、脆弱性が見つかることがあります。

脆弱性とは、システムの不具合や設計ミスなどが原因で発生する、セキュリティ上の欠陥を指し、セキュリティホールとも呼ばれるものです。
このセキュリティホールは、サイバー攻撃に狙われやすく、悪用されるとウイルス感染や情報漏えいなどの被害を受けるリスクがあります。
実際、CMSの脆弱性を第三者が突き、管理者パスワードが盗まれることによって、Webサイトが改ざんされる事件も発生していると書かれています。
事例：CMSの脆弱性突かれ、サイトが改ざん被害

脆弱性への対策

そして、脆弱性への基本の対策として挙げられるのが、２つ目の項目「情報セキュリティ５か条」です。
これはIPAが策定しているもので、実践して被害軽減を図りましょうというものです。

「情報セキュリティ5か条」は次の５つです。

CMSの脆弱性対策はこのうちの「１．ソフトウェアは常に最新の状態に」することが該当します。
「情報セキュリティ5か条」は普段使っているパソコンやスマホなどだけではなく、Webサイトのシステムやプラグインなどにも実践することが大切です。

さらに、Webサイトの管理者情報については、「３．パスワードを強化」も実践してください。
多要素認証などパスワード以外の認証が用意されている場合は、そちらも利用しましょう。
管理者になりすましてログインされ、画面を改ざんされたり情報が漏えいすることを防ぎましょう。


皆さんの会社ではWebサイトの運用はどのようにされていますか？

外部へ委託している場合でも、万が一事故が起きれば皆さんの会社が責任を負うことになります。
脆弱性を放置したままではWebサイト運営、ひいては事業継続に悪影響が生じかねません。
脆弱性対策をシステム管理者や委託先任せにしないで、経営課題として認識してくださいというのが3つ目の項目です。

この機会にシステム管理者あるいは委託先と、脆弱性対策の状況を話し合ってみてください。そして定期的にサイトの状況を経営者自らが確認することをお勧めいたします。