Webサイトの安全確認を3ステップで SiteLock

無名性によるセキュリティ


「Security by obscurity(無名性によるセキュリティ)」という表現があります。集客力が低く、注目を浴びることのないWebサイトは、悪意のある第三者に狙われにくいという考えです。本当にそうでしょうか。SiteLock社によると、改ざん被害を受けるリスクにおいて、Webサイトの知名度や規模は一切関係ありません。どの規模のWebサイトも、一律に狙われるリスクに晒されています。

サイバー犯罪が狙うのは?

データ転送量

Webサイトのトラフィック

個人情報

メールアドレス

個人から有名企業まで、どのWebサイトもリスクに晒されている

世界600万以上のWebサイトのセキュリティ診断を行うSiteLock社の独自調査によると、Webサイトが毎日受ける攻撃の数は平均22回。年換算だと、8,000回以上の回数にのぼります。悪意ある第三者によって改ざんされたWebサイトの比率を見ると、Eコマースを行うWebサイトは全体の1%程度で、99%が個人のブログ、企業や非営利団体のWebサイトだとしています。

自社のWebサイトが狙われる理由?

インターネット上にあるWebサイトは、常にセキュリティの脅威に晒されています。「改ざん」と聞けば、大抵の人は「Webサイトのトップページを面白く書き換える」など、見た目を変えてわかりやすく「Webサイトを乗っ取る」イメージを思い浮かべるかもしれません。しかし、実際に改ざんされたWebサイトのうち、わかりやすい「目に見える変化」があったのは、全体の2%にすぎません。

悪意のある第三者が改ざんを仕掛ける場合、殆どのケースで巧妙な偽装工作を図ります。ぱっと見てわからないように、気づかれないようにWebサイトを踏み台として悪用するのです。

なぜ被害は起きる?

個人の小規模なブログが被害を受けた際、運が悪かった、これは偶然だと考えるかもしれません。しかし、悪意のある第三者は、チャンスを見逃しません。コメント欄の隙間をぬってスパムリンクを設置する、またはブログ訪問者を有害な外部サイトに誘導する仕掛けを設置するなどして、確実に狙ってきます。

改ざんされたWebサイトの30%
SEOスパムの踏み台にされている

悪意のある第三者は、ブログのコメント欄を悪用して、彼らが管理するWebサイトのSEO順位を高めるためのバックリンクを一方的に設置します。また、スパムコンテンツを残していきます。


改ざんされたWebサイトの21%
サイト訪問者を奪われている

悪意のある第三者は、利己的な利益のためにお客さまのWebサイトの訪問者を奪っていきます。たとえば、Webサイト管理者と関係ない外部サイトに誘導して、利益をあげようと企みます。


改ざんされたWebサイトの6%
データ転送量を盗まれている

悪意のある第三者は、お客さまが契約した帯域のデータ転送量やリソースを勝手に消費して、攻撃の踏み台として悪用しています。

小規模な事業者のWebサイトはなぜ狙われる?

小規模な事業者のWebサイトは、高頻度で更新等の管理を行われていない可能性が高く、悪意のある第三者が「シェルスクリプト」を仕掛ける格好のターゲットとなります。

改ざんされたWebサイトの6%
シェルスクリプトが仕掛けられている

シェルスクリプト(ファイル操作、プログラム実行を処理するスクリプト)を設置されると、悪意のある第三者がWebサイトのファイルにアクセスし、勝手に管理することができるようになります。

非営利団体のWebサイトは狙われやすい

非営利団体のWebサイトは寄付に関する情報が案内されていることが多く、悪意のある第三者が不正侵入の手口であるバックドアを設置しようと狙うリスクが高いです。

改ざんされたWebサイトの40%
バックドアが設置されている

悪意のある第三者はWebサイト内にバックドア(正規の手続きを踏まずにWebサイトやWebサーバーに入ることが可能な侵入口)を設置することによって、クレジットカード情報やメールアドレスなど機密性の高い情報にアクセスしようと試みます。

Webサイトの安全性を守る手段

定期的な診断でリスクを減らす

Webサイトのセキュリティ診断を定期的に行い、Webサイト内に残されたSEOスパム、脆弱性やマルウェアなどセキュリティの脅威を洗い出しましょう。危険なマルウェアを検知するだけでなく、検知から自動駆除まで対応できる診断だと安全性は向上するでしょう。

SiteLockの定期診断メニューを見てみる

疑わしきものを減らす

WAF(Web Application Firewall)を導入して、悪質なボットや不正なトラフィックを防ぎましょう。WAFはボットによるトラフィックを判別し、正規のサイト訪問者によるトラフィックのみを通します。悪意のある第三者が勝手にファイルをアップロードする、またはサイトコンテンツの不正改ざんを防ぐのに役立ちます。

バックアップを忘れない

Webサイトのバックアップを頻繁に取得し、管理しておきましょう。不正改ざんによってWebサイトのコンテンツが失われた時、バックアップを使って復旧を図れるからです。

SiteLock 不正改ざんに備えた復旧機能を見てみる

バックアップサービス「torocca!」を見てみる


当記事で使われている統計は、2016年9月時点でSiteLockが保有する600万サイトを対象に調べた結果に基づきます。
抄訳: October 26, 2016 SiteLock, "Security by Obscurity"


SiteLockのプラン・料金を調べる