セキュリティ対策とファイアウォールの設定
業種・規模を問わず、あらゆるウェブサイトでセキュリティ対策が求められています!
KADOKAWA サイバー攻撃事件
2024年6月、総合メディアの大手として知られるKADOKAWAが サイバー攻撃の被害によりランサムウェアに感染、4億7千万円の身代金をハッカーに支払うことになった事件がありました。25万人を超える個人情報が漏洩し、日本の YouTube的サイトであるニコニコ動画が一時サービス停止せざるを得ない状況にまで陥りました。
近年、スクレイピングなどの自動化ツールやAIなどの普及により、あらゆる企業やウェブサイトを対象にしたサイバー攻撃やフィシング詐欺が活発化しています。
こうした事態は個人や中小企業にとっても他人事ではありません。どのような小さなサイトでも、もし乗っ取ることが出来れば、ハッカーにとっては利用価値があるからです。(更なるサイバー攻撃や DDoS攻撃の駒にされたり、スパム行為のプロクシーとしてサーバを不正利用される等)
何年間も放置しているサーバやウェブアプリケーションなどは、ハッカーやスパマーの格好のターゲットとなってしまいます。サーバを乗っ取られたり、スパム発信に利用されたりしないためにも定期的にメンテナンスを行いましょう。
セキュリティ対策の基本5ステップ
サイバー攻撃は「日常」になってしまったことを理解し、日頃からサイトのセキュリティの診断とチェックを欠かさず、必要であれば強化や改善を図るようにしましょう。
アクセスログの診断
まずはアクセスログを調査/診断することによりサイトへのアクセスを把握しましょう。どのようなホスティングサービスでも何らかのアクセスログ保存/閲覧機能が用意されているはずです。Google Analytics などの一般的サービスを利用しても良いですが、スクリプトが実行されなくてもログが取れる方法が望ましいです。
ログを見るとまず気付くのが「存在しないファイル」へのアクセスです。(WordPressサイトでないのに wp-login.php へのアクセスがある等)不正ロボットはこのようにして、サイトに存在するかもしれない脆弱性や、ログイン情報などの利用価値のあるデータを探しています。
脆弱性の調査と修正
サイトのシステムに不正なアクション(SQLインジェクションや XSS)を許してしまうような欠陥が存在しないか調査し、もしあれば修正します。もともとシステムにそのようなセキュリティホールが存在していてはこの後の対策にも意味がありません。
Google reCAPTCHA の設定
お問い合わせフォームなど、ロボットに利用されては困るページやコンテンツに reCAPTCHA を設定します。
https://www.google.com/recaptcha/about/
AIやウェブオートメーション(自動化ツール)の普及と進化により人とロボットとの判別はますます難しくなっています。現状、高い精度でロボットを弾くためには CAPTCHA技術を用いるしかありません。WordPressプラグインにはこれに対応したものが多くありますが、普通のウェブアプリケーションでも小規模な修正で対応出来ます。
reCAPTCHA はサイトのトラフィックが一定の範囲に収まる限りは無料で利用することが出来ます。
ファイアウォールの設定
ファイアウォール(または WAF, Web Application Firewall)とは、ウェブサーバなどのコンピュータに危害を加える可能性のあるアクセスを解析判定し、早期にブロックするためのプログラムのまとまりです。悪意のあるアクセスを防ぐほかにも、そのような無差別的なアクセスが引き起こすパフォーマンス低下を防ぐ役割もあります。
当方では、WordPressはもちろん、他のどのようなウェブサイトにも短期間でファイアウォールを実装し、設定させて頂いております。WordPressには同様のプラグインが多く存在しますが、当方では日本語でシンプルに利用出来るものをご用意させて頂きます。
フィシング詐欺への警戒
どれだけサイトのセキュリティ対策を万全にしてもフィシング詐欺への警戒を怠ってはいけません。フィシングはこうしたセキュリティ対策やファイアウォールを「迂回」するように行われるからです。KADOKAWA事件もフィシング詐欺が事の発端となっています。届いたメールや着信が正規のものであるか念入りに確認を行いましょう。
セキュリティ対策の副次的効果
サイトのセキュリティを強化し改善することで生まれる副次的効果があります。
パフォーマンスの改善と向上
ハッキングロボットやスパムロボットなどによる迷惑なアクセスはサイト運営への脅威となっているだけでなく、サイトの全体的なパフォーマンスを無意味に低下させています。とくにサイトが WordPressなどの CMSで構築されている場合は深刻です。CMSは最終的に表示するページを生成するために膨大なコードを実行し多くのリソースを割いているからです。その成果であるページが読まれないのでは何の意味もありません。
セキュリティを強化し、このようなロボットによるアクセスを早い段階で防ぐことで、サイトのパフォーマンスを改善することが出来ます。
セキュリティ対策意識のアピール
すでに説明不要である通り、サイバー攻撃は日常となってしまいました。悪意のあるハッカーが世の中の脅威であることは誰もが知ることとなりました。
セキュリティ対策の必要性はその規模を問わずあらゆる業種に求められています。セキュリティ対策意識をアピールし、そのための施策を欠かさないことで、企業やサービス、ブランドへの信頼性が高まることに繋がります。
セキュリティ対策チェックポイント
ウェブサイトのセキュリティが万全であるか簡単にチェック出来ます。
セキュリティ対策に関することでしたらお気軽にご相談下さい。