セキュリティ対策とファイアウォールの設定

業種・規模を問わず、あらゆるウェブサイトでセキュリティ対策が求められています！

ＫＡＤＯＫＡＷＡ サイバー攻撃事件

2024年6月、総合メディアの大手として知られるＫＡＤＯＫＡＷＡが サイバー攻撃の被害によりランサムウェアに感染、４億７千万円の身代金をハッカーに支払うことになった事件がありました。２５万人を超える個人情報が漏洩し、日本の YouTube的サイトであるニコニコ動画が一時サービス停止せざるを得ない状況にまで陥りました。

ITmediaによる報道
KADOKAWAサイバー攻撃、流出個人情報は25万人分

近年、あらゆる企業やウェブサイトを対象にしたサイバー攻撃やフィシング詐欺が活発化しています。つい最近、2025年9月にも飲料大手のアサヒグループが被害を受け、製造・流通へ大きな影響をもたらしました。

こうした事態は個人や中小企業にとっても他人事ではありません。どのような小さなサイトでも、もし乗っ取ることが出来れば、ハッカーにとっては利用価値があるからです。（更なるサイバー攻撃や DDoS攻撃の駒にされたり、スパム行為のプロクシーとしてサーバを不正利用される等）

何年間も放置しているサーバやウェブアプリケーションなどは、ハッカーやスパマーの格好のターゲットとなってしまいます。サーバを乗っ取られたり、スパム発信に利用されたりしないためにも定期的にメンテナンスを行いましょう。

セキュリティ対策の基本５ステップ

サイバー攻撃は「日常」になってしまったことを理解し、日頃からサイトのセキュリティの診断とチェックを欠かさず、必要であれば強化や改善を図るようにしましょう。

アクセスログの診断

まずはアクセスログを調査／診断することによりサイトへのアクセスを把握しましょう。どのようなホスティングサービスでも何らかのアクセスログ保存／閲覧機能が用意されているはずです。Google Analytics などの一般的サービスを利用しても良いですが、スクリプトが実行されなくてもログが取れる方法が望ましいです。

ログを見るとまず気付くのが「存在しないファイル」へのアクセスです。（WordPressサイトでないのに wp-login.php へのアクセスがある等）不正ロボットはこのようにして、サイトに存在するかもしれない脆弱性や、ログイン情報などの利用価値のあるデータを探しています。

脆弱性の調査と修正

サイトのシステムに不正なアクション（SQLインジェクションや XSS）を許してしまうような欠陥が存在しないか調査し、もしあれば修正します。もともとシステムにそのようなセキュリティホールが存在していてはこの後の対策にも意味がありません。

Google reCAPTCHA の設定

お問い合わせフォームなど、ロボットに利用されては困るページやコンテンツに reCAPTCHA を設定します。

Google reCAPTCHA
https://www.google.com/recaptcha/about/

ＡＩやウェブオートメーション（自動化ツール）の普及と進化により人とロボットとの判別はますます難しくなっています。現状、高い精度でロボットを弾くためには CAPTCHA技術を用いるしかありません。WordPressプラグインにはこれに対応したものが多くありますが、普通のウェブアプリケーションでも小規模な修正で対応出来ます。

reCAPTCHA はサイトのトラフィックが一定の範囲に収まる限りは無料で利用することが出来ます。

ファイアウォールの設定

ファイアウォール（または WAF, Web Application Firewall）とは、ウェブサーバなどのコンピュータに危害を加える可能性のあるアクセスを解析判定し、早期にブロックするためのプログラムのまとまりです。悪意のあるアクセスを防ぐほかにも、そのような無差別的なアクセスが引き起こすパフォーマンス低下を防ぐ役割もあります。

当方では、WordPressはもちろん、他のどのようなウェブサイトにも短期間でファイアウォールを実装し、設定させて頂いております。WordPressには同様のプラグインが多く存在しますが、当方では日本語でシンプルに利用出来るものをご用意させて頂きます。

フィシング詐欺への警戒

どれだけサイトのセキュリティ対策を万全にしてもフィシング詐欺への警戒を怠ってはいけません。フィシングはこうしたセキュリティ対策やファイアウォールを「迂回」するように行われるからです。ＫＡＤＯＫＡＷＡ事件もフィシング詐欺が事の発端となっています。届いたメールや着信が正規のものであるか念入りに確認を行いましょう。

ランサムウェアとは

近年の大手企業を標的としたサイバー攻撃でよく耳にするようになった「ランサムウェア」というものは何でしょう？

ランサムウェア（ransomware）とは、コンピュータやデータを“人質”に取って金銭（身代金＝ransom）を要求するタイプの悪意あるソフトウェア（マルウェア）のことです。

💡 仕組み（典型的な流れ）

1. 感染
   メールの添付ファイルや不正サイト経由で、ランサムウェアがパソコンやサーバーに侵入します。
2. 暗号化
   感染した端末やネットワーク上のデータが暗号化され、開けなくなります。
3. 脅迫・要求
   画面に「データを復元したければ○○ビットコインを支払え」などのメッセージが表示されます。
4. 支払い後も保証なし
   身代金を支払っても、データが戻る保証はありません。むしろ再び狙われることもあります。

最近の典型としては、単にデータを暗号化するだけでなく、盗み出した情報を公開すると脅されるケースが増えています。そのため、データのバックアップがあっても安心は出来ません。製造・物流・医療など、業務停止による損害が大きい業種が特に狙われています。

対策としては、とりわけ「怪しいメール、メッセージ、SMS、添付ファイル等を開かない」ことが重要です。また、Wi-Fi（無線通信）を使用せざるを得ない場所では、必ず安全性が保障された正規の接続先であるか確認する必要があります。

セキュリティ対策の副次的効果

サイトのセキュリティを強化し改善することで生まれる副次的効果があります。

パフォーマンスの改善と向上

ハッキングロボットやスパムロボットなどによる迷惑なアクセスはサイト運営への脅威となっているだけでなく、サイトの全体的なパフォーマンスを無意味に低下させています。とくにサイトが WordPressなどの CMSで構築されている場合は深刻です。CMSは最終的に表示するページを生成するために膨大なコードを実行し多くのリソースを割いているからです。その成果であるページが読まれないのでは何の意味もありません。

セキュリティを強化し、このようなロボットによるアクセスを早い段階で防ぐことで、サイトのパフォーマンスを改善することが出来ます。

セキュリティ対策意識のアピール

すでに説明不要である通り、サイバー攻撃は日常となってしまいました。悪意のあるハッカーが世の中の脅威であることは誰もが知ることとなりました。

セキュリティ対策の必要性はその規模を問わずあらゆる業種に求められています。セキュリティ対策意識をアピールし、そのための施策を欠かさないことで、企業やサービス、ブランドへの信頼性が高まることに繋がります。

セキュリティ対策チェックポイント

ウェブサイトのセキュリティが万全であるか簡単にチェック出来ます。