長期休暇中はサイバー攻撃が増加！ Webサイトに迫る危機とは…

事例取材担当　菱沼です。

さて、もうすぐ楽しい楽しいGWですね。今年は元号が令和に改元するため、通年より長い10日間となります。何しましょう！？といろいろ計画を立てていることかと思います。

そんな楽しい休暇前にWebサイトのセキュリティ面対策がお済かどうか、ご確認をお勧めしたいということで、今回は長期休暇前後のWebセキュリティについてまとめてみました。

1. ■長期休暇中にサイバー攻撃は増加するってホント？
2. ■実際何が起きる？
3. ■WordPressも例外じゃない。きちんとバージョンアップをすれば回避できる！けど…。
- 3.1. コーポレートサイトがハッキング被害に！「KUSANAGI」で問題いっぺんに解決！

■長期休暇中にサイバー攻撃は増加するってホント？

ところで、毎年長期休暇の時期になると、IPAからWebサイトのセキュリティについての注意喚起アナウンスがあることをご存知でしょうか？

［IPA］ゴールデンウィークにおける情報セキュリティに関する注意喚起

https://www.ipa.go.jp/security/topics/alert20190402.html

実際、長期休暇中には攻撃数が増加するという傾向はあるようです。サイバーセキュリティクラウド社がデータを公開していました。

【サイバー攻撃白書　2018年度攻撃分析レポート発表】 「攻撃遮断くん」で検知した攻撃ログ数は約１億件超 企業規模を問わないサイバー攻撃の検知を観測

https://www.cscloud.co.jp/news/press/201901311846/

こちらのページでは2018年の年間を通したデータとなりますが、5月の検出が最も多く、9月以降から12月まで徐々に上昇する傾向となっています。

攻撃検知レポートからわかる2018年年末年始のWebセキュリティ対策まとめ

https://www.shadan-kun.com/blog/measure/4177/

上記のページで掲載されているデータは12月～1月にわたるものになりますが、各社が休業していることが多い期間に確かに変動が見られます。

これらのデータをみればGWや年末年始休暇などの長期休暇前には対策をしておいた方がいいのは明確。

同サイト以外に長期間でのデータが見たいという方は、4半期ごとのコンピュータウイルスと不正アクセスの統計にはなりますが、IPAのサイトも見てみてくださいね。

https://www.ipa.go.jp/security/anshin/index.html#3-2

■実際何が起きる？

では、Webサイトへの攻撃とはどういったものがあるのかを改めて整理してみますと、大体下記のようなものになります。

Webサイトの改ざん
情報漏えい
サイトダウン
不正アクセス
不正サイトや不正プログラムダウンロードの踏み台に利用される

こうした結果の原因となる攻撃手段として有名なのはSQLインジェクションや、クロスサイト・スクリプティング、OSコマンドインジェクション、セッション管理不備、クロスサイト・リクエスト・フォージェリ、ディレクトリ・トラバーサル、Dos/DDos攻撃、などなどです。

防ぐためには基本のセキュリティバージョンアップはもちろんのこと、これ以外にFirewall・WAFの導入や、SSL、改ざん検知、定期的な脆弱性診断を行うといったことが一番ですが、それなりのコストが必要になりますので、SSLだけだという企業がほとんどだと思います。

ただセキュリティバージョンアップは以前申し上げた通り、サイトの挙動に影響が出る可能性があるため、忌避している企業は多いですし、実際、Web制作会社から対応をお断りされるケースがあります。とはいえ、行わずに放置するにはリスクが高いので、十分な検証を行った上でなるべく早めに実行することをお勧めします。（もちろんプログラムだけでなく、サーバ側も！）

とはいえ、今からやるには時間がなさすぎるわ！というお声が聞こえそうです。でも仕方ないんです！やれるだけのことはやっちゃいましょう！応援してます！

ちなみにIPAのサイトである程度の方針を書いたページもあったりします。こちらも見てみてくださいね。

［IPA］長期休暇における情報セキュリティ対策

https://www.ipa.go.jp/security/measures/vacation.html

ちなみに、脆弱性診断はサイトを立ち上げた際や定期的に実行するのが良いと思います。たまにガッツリやって、時々簡易版をやるみたいな形にすればコストも抑えられるかもしれません。セキュリティ事業者とご相談ください。

また、これからサイトを立ち上げられる方！セキュリティ対策を行ってくれることを条件に入れてみれば、これだけである程度の問題は解決できる（はず）と思います。残念ながらサイバー攻撃は常に進化しているので、絶対はありません。都度、できることからやっていきたいですね。

■WordPressも例外じゃない。きちんとバージョンアップをすれば回避できる！けど…。

当サイトをご覧になっている方はWordPressユーザーが多いことでしょう。

WordPressもご存知の通り例外なくサイバー攻撃にさらされるCMSの一つで、攻撃される頻度も高いという話もありますが、WordPressは脆弱性を見つけたら迅速に修正プログラムを出してくれているので、きちんと適用していれば避けられることも多いはず。（動作はやっぱり不安だけど！）

ちなみに、プラグインは別です。開発を行っているのは企業や個人で、大分放置されているプラグインもありますので、信頼できるプラグインかどうかを見極めるのもセキュリティ上、重要な要素の一つです。

今回ご紹介する事例は株式会社ホールハート様で、WordPressを使用したコーポレートサイトがサイバー攻撃を受けたそうです。原因はWordPressのバージョンアップ未対応…。同社はWordPressユーザーが良く抱えるバージョンアップによる動作への不安とセキュリティ面での不安によるジレンマを抱えておられました。

こうした事例が実際ある以上、バージョンアップの重要性は推し量れるというもの…。

それでもWordPressのノウハウがない、制作会社が対応してくれないという企業様がおられましたら、ぜひKUSANAGIとKUSANAGI公式サポートサービスをご検討ください。

常に最新の環境で安心してWordPressを利用できるKUSANAGIと、バージョンアップ対応やプラグインの相談、WordPressの運用に関わる不安を解決します。お客様にとって必要なサポートを行えますのでぜひご相談ください。

なお、毎月、あの徳丸浩先生が登壇するWordPressセキュリティセミナーも開催しております！毎回大人気のセミナーです。機会があればぜひご参加ください！

イベントページ　→　https://www.prime-strategy.co.jp/information/