企業がWebサイトを制作する場合、セキュリティは非常に重要です。セキュリティ対策は売り上げにつながるような前向きな投資ではないため軽視してしまうケースもあるようですが、対策を怠ると深刻な被害に発展することがあります。

WordPressのハッキング被害事例

インターネットを検索するとさまざまなハッキング被害が報告されています。特にWordPressを使ったサイトでは、以下のような被害が増えています。

ページが書き換えられる

いたずらのようなテキストの書き換えからテロ組織による画像差し替えまで、さまざまな被害が報告されています。また、ページに勝手に広告を埋め込まれるといった被害もあります。

迷惑メールの踏み台にされる

不正なプログラムを設置され、自社サイトのドメインから知らないうちに大量の迷惑メールが送られるという例もあります。この場合、サーバ会社からサイトを止められてしまうこともあります。

サイトにウイルスを埋め込まれる

自社サイトにウイルスを埋め込まれ、閲覧した第三者が感染してしまうという例もあります。この場合、自社は被害者であるだけでなく、加害者にもなってしまいます。

フィッシングサイトや変なサイトに飛ばされる

自社サイトにアクセスしたはずなのに、数秒で別のサイトに飛ばされてしまう例も増えています。これを、リダイレクトといいます。利用者をフィッシングサイトに誘導する本当に悪質なものもあれば、広告収入目当てでいくつものサイトに次々飛ばされるというケースもあります。

このような被害に遭うのは、誰かが会社に恨みを持っているからでも顧客トラブルを抱えているからでもありません。攻撃者はインターネット上のWebサイトを手当たり次第に調べて、セキュリティ対策の甘いサイトを攻撃するのです。つまり、Webサイトにセキュリティ対策を施すことは、顧客に丁寧に対応するのと同じくらい基本的で重要なことなのです。

フィッシングサイトは、本来の企業サイトそっくりに作ってIDとパスワードを入力させ、その情報を使って不正利用するといった事例もあり、悪質さが増しています。

また、複数サイトにリダイレクトされるケースは、検索結果に影響を与えます。
Googleは検索結果を最適化するために常に監視しています。そのため、Webサイトから不正なリダイレクトが発生していれば検索結果に「このサイトは第三者によってハッキングされている可能性があります」と表示し、管理者に警告してきます。このため、自社サイトが改ざんされたことに、Googleからの通知メールで気づくということもあります。Yahoo!でも、同様の対応をしています。
放置すれば検索結果の順位も下がるので、SEO対策をしていてもハッキングされたら水の泡ということです。

ハッキングされた場合の復旧方法

ハッキングされた場合の復旧方法の概要を簡単に説明します。対処を間違うと事態を悪化させてしまう危険性もありますので、技術的に不安がある場合は迷わず専門家に相談しましょう。

1.ハッキングかどうか確認する

検索エンジンやサーバ会社、利用者から通報があった場合は、本当にハッキングされたかどうか、自社サイトにアクセスして確認しましょう。対処が遅れないように、自社サイトには毎日アクセスして確認する習慣をつけておくことをおすすめします。

2.原因を突き止める

ソースコードを見て、異常動作の原因を探します。このときに要注意なのは、「作成した覚えのないファイル」「入れた覚えのないscript」「怪しいプラグイン」です。管理画面から、これらがないかチェックしましょう。リダイレクト被害の場合は、十中八九入れた覚えのないscriptが存在し、別サイトへの転送を行っています。

WordPressのプラグインには、ハッキングの原因を調べてくれるものもありますので、利用するといいでしょう。また、外部からWebサイトをスキャンして不正なコードがないかチェックするサービスもあります。

3.改ざん部分を修正

原因となる改ざん部分が特定できたら、それを修正します。1、2ヶ所程度なら管理画面から書き換えても構いませんが、大量のサイトにリダイレクトされているといったように改ざん部分が多い場合は、データベースから一括修正するのがおすすめです。

4.再発防止策を講じる

修正が終わったら、以下のような再発防止策を講じておきましょう。

パスワード変更

不正アクセスされてしまったパスワードは変更しましょう。また、複数のサイトやサービスで同じパスワードを使い回さないように注意するのも重要です。

WordPressをアップデート

WordPress自体や利用しているプラグインが古いと、脆弱性が残っている可能性があります。最新の状態にアップデートしましょう。

セキュリティプラグイン導入

もし導入していなかったなら、セキュリティ対策のプラグインを導入します。

PCのウイルスチェック

管理用のPC自体がウイルス感染していたら、またハッキング被害に遭う恐れがあるので、ウイルスチェックをしておきましょう。PCにウイルス対策ソフトが入っているかどうかも確認しましょう。

5.Googleに再審査を申請

修正と対策が終わったら、Googleに再審査を申請します。承認されれば、検索結果の「このサイトは第三者によってハッキングされている可能性があります」という表示は消してもらえます。

セキュリティ対策

改ざんされたWebサイトが復旧できたら、以下のセキュリティ対策も検討してみましょう。

静的サイトとして運用する

WordPressの脆弱性における最大の原因が、動的サイトであるという点です。そこで、静的サイトとして運用するという対策があります。

WordPressをやめて静的サイトに作り直すというのが抜本的な対策ですが、WordPressのサイトを静的サイトにするプラグインもあります。

バックアップを取っておく

ハッキング被害に遭ったとき、元の状態が分からないと復旧に時間がかかってしまいますので、日ごろの運用としてバックアップを取っておくことは重要です。

WAF(Web Application Firewall)を導入する

WAFとは、Webサーバの手前に配置して通信を解析し、外部の攻撃からWebサイトを守るセキュリティ対策です。Webサイト自体にセキュリティ上の問題があっても無害化できるのが特長で、クラウド型のWAFであれば導入の難しさやコストの面での課題もクリアできます。

改ざん検知ツールを導入する

ページが改ざんされて、悪意のあるツールがダウンロードされる箇所がないかチェックできるサービスを使って、フィッシングサイトへの誘導や、ウイルスをダウンロードさせる箇所を検知することで、被害者の拡大を食い止めることができます。

活用したいセキュリティ対策サービスの具体例

では、実際にハッキング対策には、どのようなサービスがあるのか、BIGLOBEを例に見てみましょう。

Pattern Style CMS

オープンソースではない商用CMSを採用することもセキュリティ対策として1つの方法です。

商用CMSは外部にソースコードを開示していないため、攻撃者もソースの中にある脆弱性を発見しにくいというメリットがあります。さらに、特定の商用CMSを利用しているサイトは限られるため、攻撃者にとっては苦労が多い割に見返りが少ないという点から、無料のCMSに比べると狙われにくいのです。

ビッグローブでは、企業のHPを運用するために必要な機能が一通りそろっている、静的サイト用CMSサービスの提供を行っています。CMSサーバとWEBサーバを分離した構成のため、セキュリティに強いCMSです。

Pattern Style CMS

クラウド型WAF(Imperva Cloud WAF)

Imperva Cloud WAFは、WAF製品のリーディングカンパニーであるImperva社が提供するクラウドクラウドWAFサービスです。WAF以外にDDoSにも防御性能を発揮します。世界90カ国以上で展開されており、これまで約100,000社、160,000サイトへの導入実績があります。Pattern Style CMSのセキュリティオプションとして、Imperva Cloud WAFの初期設定もBIGLOBEが行ってくれます。

クラウド型Web改ざん検知サービス

1日に1回サイトをクロールし、マルウェア、悪意のあるスクリプト、オンライン詐欺サイトの埋め込み等、Webサイトコンテンツの不正な改ざんを検知します。検知した場合に自動的にメンテナンス画面へ切り替える機能もあります。WordPressで改ざんされたとしても、すぐに気づいて対策を取ることは非常に大切です。

Web改ざんチェックサービス

WordPress利用の際にはしっかりとセキュリティ対策を!

WordPressは利用者の多い人気のCMSですが、オープンソースであることや動的サイトであることなど、脆弱性につながりやすい特徴もあります。このため、セキュリティ対策を怠ると、Webサイト改ざんの被害に遭いやすく、注意が必要です。

サイト改ざんが疑われるときは、チェック用のプラグインやスキャニングサービスを使って原因を特定し、復旧しましょう。定期的にバックアップを取っておくことも重要です。また、WAFの導入や、改ざんチェックサービスの利用も検討しましょう。