セキュリティガイド利用者を守るホームページへのハッキング(攻撃/改ざん)対策

ある日突然、ホームページが見知らぬ情報に書き換えられていた…
ホームページの管理者なら、想像するだけで背筋が寒くなります。

近頃、ランサムウェアなど、メールのセキュリティへの脅威がニュースになることが多く、注目度も上がっていますが、ホームページへのハッキング(攻撃/改ざん)の件数も増加の一途を辿っています。

メールによるウイルス感染の被害は、受信者を中心に限定的なケースもありますが、ホームページは不特定多数の閲覧者全員に、二次的、三次的に被害が拡大する可能性があります。

  • 誤情報や、運営/管理者、特定の人物/団体などを誹謗中傷するような内容に書き換える
  • 閲覧者のパソコンに対して、Webブラウザ経由で悪意のあるスクリプトを実行する
  • データベースに直接アクセスし、個人情報を盗み出したりホームページのデータを破壊する
  • フィッシングなどで個人情報を盗み出そうとする

ホームページへのハッキングのパターン

1FTPパスワードなどの脆弱性を狙うパターン

ホームページを更新する際に使用するFTPのID/パスワードを盗み出して悪用するパターンです。

英数字などで構成されるFTPのID/パスワードに対し、いわゆる「総当り攻撃」でさまざまな組み合わせを試行します。
そのときに、辞書に掲載されていそうな単語や、IDと同じパスワードを設定していると、簡単に盗み出されてしまいます。

また、メールによるマルウェア感染で、FTPのパスワードが流出してしまう場合もあります。

盗み出されたパスワードは、攻撃者によって自由に使われてしまい、結果としてホームページが改ざんされてしまいます。

2Webアプリケーションの脆弱性を狙うパターン

WordPressやEC-CUBEなど、PHPなどのプログラムからデータベースに接続するWEBアプリケーションの脆弱性を悪用するパターンです。

「クロスサイトスクリプティング」「SQLインジェクション」などもこちらに含まれ、攻撃者がホームページに対して悪意のあるスクリプトを埋め込んだり、データベースに接続して不正に操作するなど、危険性の高いものが数多くあります。

特にECサイトなどには、データベースにお客様の個人情報が含まれていることが多く、情報漏えいなどで一気に被害が拡大します。

検索サイト「Google」の対策とは

ホームページへのハッキングによる被害件数が増加する中、大手検索サイトのGoogleは、利用者に対しての安全対策を強化しています。

具体的には、攻撃/改ざんを受けているホームページが見つかったら、Googleのデータベースに危険なサイトとして登録されます。

そのホームページが検索結果に含まれる場合、利用者がアクセスしないように危険なホームページとして表示されます。

この表示は、ハッキングへの対応が行われ、安全なホームページであるとGoogleが再認識し、データベースの情報が更新されるまで続きます。

Googleでは、ハッキングを受けた際の具体的な対応手順を公開しています。

Google Developers - ハッキングされたウェブサイトに関するヘルプ

ホームページの管理者ができる対策とは

企業のホームページへのハッキングは、その企業への信用を失うことに直結します。
ホームページの管理者は、常にセキュリティへの対策を行っておく必要があります。

1ホームページの改ざんをいち早く検知する

もしホームページが改ざんされてしまったら、管理者がすぐにそれを察知し、対応までをスピーディーに行うことが重要です。

「WEB改ざん検知」はホームページの不正な改ざんを監視し、異常があればすぐに管理者に通報するサービスです。

不正な改ざんが検知された場合は、自動的に安全なページへの書き換えを含めた応急処置を行うため、被害の拡大を防ぐことができます。

WEB改ざん検知

2セキュリティの高いパスワードを設定する

FTPのパスワードには、できるだけ多くの文字数や、大文字小文字や記号のランダムな組み合わせなど、推測されにくいものを設定しておきましょう。

Zenlogicサポートサイト - FTPアカウントの設定

3WEBアプリケーションの更新を行う

WordPressやEC-CUBEなど、WEBアプリケーションは脆弱性が見つかった場合、更新プログラムをリリースしています。

公式サイトなどで更新プログラムの情報をいち早く察知し、迅速に適用することが重要になります。

4ファイアウォールを設定する

ファイアウォールとは、外部/内部のネットワークの境界で「防火壁」の役割を果たします。

ハッキングのような不正アクセスなど、あらかじめ登録されたパターンから外れる通信は、ファイアウォールが断してくれますので、大きな効果が期待できます。

WAF(WEBアプリケーションファイアウォール)

Zenlogic おすすめセキュリティ対策

利用者を守るハッキング対策サービスラインアップ

WEB改ざん検知【有料オプション】

ガンブラー(Gumblar)ウイルスなどのマルウェア、悪意のあるスクリプトの埋め込みなど、ホームページの不正な改ざんを監視、通報するサービス。

不正改ざんの検知時は自動的に応急処置をするため、被害の拡大を防ぐことができます。

WAF(WEBアプリケーションファイアウォール)【標準提供】

ハッカーによる不正アクセスなど、定められた基準から外れる通信だとファイアウォールが判断すれば、内部へ進入されるまえに通信自体を遮断します。

不正アクセス対策の一環として、設定しておいて損はありません。

お問合せ窓口

お問合せの前に
「よくあるご質問」をご確認ください

よくあるご質問(FAQ)

「Zenlogic」をご契約前のお客様

電話でのお問合せ
メールでのお問合せ

お問合せフォーム

「Zenlogic」をご利用中のお客様

■サービスのご利用やお手続き方法、問合せ窓口についてはこちら

サポートサイト

■各種お申込みやサーバーの設定画面はこちら

※こちらからお問合せいただくと、個人情報等の入力が不要になります。またAW-1~4、AL-1~6、プラン1~7をご利用の場合は、365日の電話窓口もご利用いただけます。

カスタマーポータル
ログイン



Pagetop