「Security by obscurity(無名性によるセキュリティ)」という表現があります。集客力が低く、注目を浴びることのないWebサイトは、悪意のある第三者に狙われにくいという考えです。本当にそうでしょうか。SiteLock社によると、改ざん被害を受けるリスクにおいて、Webサイトの知名度や規模は一切関係ありません。どの規模のWebサイトも、一律に狙われるリスクに晒されています。
「Security by obscurity(無名性によるセキュリティ)」という表現があります。集客力が低く、注目を浴びることのないWebサイトは、悪意のある第三者に狙われにくいという考えです。本当にそうでしょうか。SiteLock社によると、改ざん被害を受けるリスクにおいて、Webサイトの知名度や規模は一切関係ありません。どの規模のWebサイトも、一律に狙われるリスクに晒されています。
データ転送量
Webサイトのトラフィック
個人情報
メールアドレス
世界600万以上のWebサイトのセキュリティ診断を行うSiteLock社の独自調査によると、Webサイトが毎日受ける攻撃の数は平均22回。年換算だと、8,000回以上の回数にのぼります。悪意ある第三者によって改ざんされたWebサイトの比率を見ると、Eコマースを行うWebサイトは全体の1%程度で、99%が個人のブログ、企業や非営利団体のWebサイトだとしています。
インターネット上にあるWebサイトは、常にセキュリティの脅威に晒されています。「改ざん」と聞けば、大抵の人は「Webサイトのトップページを面白く書き換える」など、見た目を変えてわかりやすく「Webサイトを乗っ取る」イメージを思い浮かべるかもしれません。しかし、実際に改ざんされたWebサイトのうち、わかりやすい「目に見える変化」があったのは、全体の2%にすぎません。
悪意のある第三者が改ざんを仕掛ける場合、殆どのケースで巧妙な偽装工作を図ります。ぱっと見てわからないように、気づかれないようにWebサイトを踏み台として悪用するのです。
個人の小規模なブログが被害を受けた際、運が悪かった、これは偶然だと考えるかもしれません。しかし、悪意のある第三者は、チャンスを見逃しません。コメント欄の隙間をぬってスパムリンクを設置する、またはブログ訪問者を有害な外部サイトに誘導する仕掛けを設置するなどして、確実に狙ってきます。
悪意のある第三者は、ブログのコメント欄を悪用して、彼らが管理するWebサイトのSEO順位を高めるためのバックリンクを一方的に設置します。また、スパムコンテンツを残していきます。
悪意のある第三者は、利己的な利益のためにお客さまのWebサイトの訪問者を奪っていきます。たとえば、Webサイト管理者と関係ない外部サイトに誘導して、利益をあげようと企みます。
悪意のある第三者は、お客さまが契約した帯域のデータ転送量やリソースを勝手に消費して、攻撃の踏み台として悪用しています。
小規模な事業者のWebサイトは、高頻度で更新等の管理を行われていない可能性が高く、悪意のある第三者が「シェルスクリプト」を仕掛ける格好のターゲットとなります。
シェルスクリプト(ファイル操作、プログラム実行を処理するスクリプト)を設置されると、悪意のある第三者がWebサイトのファイルにアクセスし、勝手に管理することができるようになります。
非営利団体のWebサイトは寄付に関する情報が案内されていることが多く、悪意のある第三者が不正侵入の手口であるバックドアを設置しようと狙うリスクが高いです。
悪意のある第三者はWebサイト内にバックドア(正規の手続きを踏まずにWebサイトやWebサーバーに入ることが可能な侵入口)を設置することによって、クレジットカード情報やメールアドレスなど機密性の高い情報にアクセスしようと試みます。
Webサイトのセキュリティ診断を定期的に行い、Webサイト内に残されたSEOスパム、脆弱性やマルウェアなどセキュリティの脅威を洗い出しましょう。危険なマルウェアを検知するだけでなく、検知から自動駆除まで対応できる診断だと安全性は向上するでしょう。
WAF(Web Application Firewall)を導入して、悪質なボットや不正なトラフィックを防ぎましょう。WAFはボットによるトラフィックを判別し、正規のサイト訪問者によるトラフィックのみを通します。悪意のある第三者が勝手にファイルをアップロードする、またはサイトコンテンツの不正改ざんを防ぐのに役立ちます。
Webサイトのバックアップを頻繁に取得し、管理しておきましょう。不正改ざんによってWebサイトのコンテンツが失われた時、バックアップを使って復旧を図れるからです。
当記事で使われている統計は、2016年9月時点でSiteLockが保有する600万サイトを対象に調べた結果に基づきます。
抄訳: October 26, 2016 SiteLock, "Security by Obscurity"
ISMS認証基準の国際規格ISO/IEC 27001:2013 を取得しています。
© 2024 GMO GlobalSign Holdings K.K.