知らないうちに、あなたのWebサイトが「加害者」に！　改ざん・踏み台にされないためのセキュリティ対策とは？

ある日、出社して自社サイトをチェックしたあなたの目に次の画面が飛び込んできた。

脆弱性を突かれ、改ざんされたサイトの画面。企業サイトにアクセスしてこの画面が現れたらどう思うだろう？

他人事だと思ってはいけない。INTERNET Watchの記事によると、「世界6万6000以上のサイトが改ざん被害、WordPressの脆弱性を悪用した攻撃を国内でも観測」されている。

企業の大小を問わず、Webサイトは多くの人が訪れる「会社の顔」だ。しかし、そのセキュリティをきちんと対策している企業は少ない。漠然と自分には関係ないと思っていても、実はWebサイトを狙った攻撃が頻発している。

コンテンツの運用が忙しいから、予算が限られているからと言って、セキュリティ対策を怠るとページの改ざんやサイトの踏み台化の危険にさらされてしまう。そんな事態を避けるための方法と、セキュリティ確保をサポートしてくれるレンタルサーバーサービスについて紹介する。

多くのWeb担当者にセキュリティが他人事な事情

Webサイト攻撃のニュースは毎日のように流れてくるが、ターゲットにされているのは大企業や有名な公共機関ばかりだし、アクセスもそんなにない自社サイトがそうした被害を受けることはないと考えているWeb担当者は少なくない。確かにネット脅威、セキュリティ被害でニュースになるのは大きな組織の情報漏えいや、大規模なDDoS攻撃によるサイトアクセス不能の被害などだ。

中小企業はこうした標的型攻撃のターゲットにはなりにくい。しかし、被害がないかというとそうではない。実は悪意を持ったアタックとしては総当たり攻撃のほうがはるかに多い。「どこでもいいから狙えるところを狙う」ような自動化された総当たり攻撃で脆弱性を突かれる被害は中小企業でも大企業などと変わりはない。

不特定多数への攻撃で脆弱性が発見されると、愉快犯的なホームページ改ざんが行われたり、バックドアを仕込まれてDDoS攻撃などの踏み台として使用されてしまう可能性がある。踏み台にされる恐ろしさは、自分が被害者であるばかりでなく、他のサイトなどに被害を与える加害者にされてしまう点だ。

レンタルサーバーCPIを提供するKDDI ウェブコミュニケーションズのエバンジェリストである阿部正幸氏は、セキュリティ対策の実施されていないサーバーでは、こうした危険性が非常に高くなると指摘する。

KDDIウェブコミュニケーションズ
コミュニケーション本部　エバンジェリスト
阿部正幸氏

私たちが提供しているレンタルサーバーの運用部でも、お客様のサーバーがハッキングされてアラートが鳴るようなことがあります。すぐにPHPの実行権限を剥奪、攻撃元IPをブロックし、お客様に連絡を差し上げるのですが、セキュリティ関連のアップデートをきちんとしておけば、こうした危険性は大きく削減できます（阿部氏）

しかし、ネット被害に対する危険意識が低いWeb担当者が多いため、セキュリティ対策への取り組みはなかなか進んでいないのだという。その原因は何だろう？　一つには、セキュリティまで手が回らないという仕事環境がある。中小では、Web担当者が一人体制というのも珍しくないし、コンテンツの更新に忙殺されているケースも多い。

なかには、もともとWebに知識や興味がないのに担当しているため、セキュリティの情報に関心がないという担当者も見られる。このため、パスワードの使いまわしなど、基本的な対策ができていない企業も少なくない。ほかには、Webにコストをかける文化がないという企業も多い。

Web制作会社がサイトを作った場合、その後の運用の提案がされるのが普通です。制作会社に毎月のアップデートやパッチなどの運用を月5～10万円くらいで発注していれば、セキュリティ対策の基本は安心ですが、アタックに対する企業の危機意識が低いため、こうした提案に応じるのは経験的に1割程度です。

では制作会社に頼まず自分でしっかりとセキュリティ対策をするというとそうではなく、自社でセキュリティアップデートを実施もせず放置しているサイトがまだまだ多いのです（阿部氏）

頻発するCMS脆弱性攻撃と、取るべき対策

こうした環境の中で、Webのどのような脆弱性が狙われているのだろうか？　企業の中のPCのOSやOfficeのアップデートなどは、ポリシーで管理されているケースがほとんどだが、Webサーバーで利用するソフトウェアについては、そうした基準を定めていないケースが多い。

企業Webサイトの6割ほどでは、更新コストの削減や更新頻度の向上のためにCMS（コンテンツマネジメントシステム）を利用しているが、その脆弱性が、かなりの頻度で狙われている。

特にCMSのなかでもシェアの高いWordPressやJoomla!の脆弱性を狙った攻撃は多い。Webサイトハッキングレポート 2016年-Q3によれば、全体の74％がWordPressへのハッキングだ。

WordPressはデザイナーにも使えて見栄えの良いサイトを簡単に構築できるため、制作会社もWordPressの利用を前提に料金を低めに設定していることが多い。W3Techsの調査によればCMS全体でのWordPressのシェアは58％にのぼる。

アタックを受けたCMSの74%がWordPressだ
出展：「Webサイトハッキングレポート 2016年 Q3」

WordPressの場合、コア（本体プログラム）のアップデートはもちろん重要なのですが、脆弱性を狙われるケースが多いのは、プラグインやテーマです。普通に10とか20のプラグインが入っているサイトも多いのでこれらの修正ファイルのアップデートも必要になります（阿部氏）

最低でも月に一回くらいのアップデートは必要だが、修正ファイルが上がったら早く入れるに越したことはないため、「こまめな情報チェックとアップデートを習慣づけてほしい」と阿部氏は提案する。しかし、大きな企業では計画的なメンテナンスが実行されているため、修正ファイルが上がってその日のうちに対応するのは困難だ。

開発、ステージング、プロダクション（本番）という3段階の環境になっているため、アップデートまで一週間かかるケースもざらだ。こうした環境ではきちんとバックアップをとっておいて、いざというときにロールバックして原状回復できるようにしておくことが重要になる。

また、サイト構築時からの運用設計も重要だ。プラグインの選択に当たっては公式サイトで配られているものを選択する方が危険性は軽減できるだろう。しかし、米国で実際に起こった8000件のハッキングの統計では、よく使用されるプラグインの脆弱性を突かれているなど、アップデートを欠くと安心はできない。

攻撃者が脆弱性を突いてJavaScriptやQueryを実行して被害を与えるこれらのアタックに対しては、もちろんソースコードレベルで対策を図ることも可能だが非常に手間がかかるため、専門的な知識がない場合はWAF（ウェブアプリケーションファイアウォール）を導入してアプリケーションレベルの脆弱性を突いた攻撃を検知しセキュリティを向上させることがお薦めだ。

レンタルサーバー選択で危険性を下げるには

バックアップもなかなかとり続けるのは手間がかかるし、WAFの導入もどうしていいかわからないかもしれない。その場合、レンタルサーバーサービスでバックアップサービスやWAFを提供しているものがあるので、そうしたサービスを選択する方法がある。

CPIの共用レンタルサーバーはデイリーでバックアップを取っていますし、何かあってもコントロールパネルからWebとデータベースのデータを復元できる構成になっています。また、WAFも標準で提供しています。

先日、WordPressの4.7.0と4.7.1でREST APIの処理に起因するだれでもが記事投稿が可能な脆弱性が発表された際、CPIでは非常に危険なのでアップデートをすぐに行うようお客様に告知するとともに、発覚2日後にはWAFのシグネチャを書き換えることで、その脆弱性を狙った攻撃を遮断し、アップデートが遅れているユーザーの被害も防ぐことができました（阿部氏）

同社では大きな脆弱性を一番情報が早いIPAなどの政府関連のサイトでチェックして、ソーシャルやメールマガジンでの告知を行っている。それでも、一番重要なのはアップデートを運用のルーチンにし、月1や半月に一回など実施を続けることだと阿部氏は指摘する。

IPAサイトで報告されたWordPress4.7.0から4.7.1の脆弱性

実態のわからない攻撃に話せるサポートで安心を

WebはCMS以外の部分でも、さまざまな攻撃を受ける可能性がある。しかし、自社のWebサイトが攻撃を受けていても、その実態はなかなかわからない。表示速度が少し落ちているように感じても、特に一人で担当している場合、それがアタックのせいなのか判断することは困難だ。レンタルサーバー会社は、運用状態のさまざまな監視を行っているため、サポートに相談することで、原因がわかることも少なくない。

CPIは24時間、メールと電話でサポートを受け付けています。電話で改ざんの相談がくることもあります。お客様の方では対処方法がわからなかったため、いったん接続を切って被害が広がらないようにしてCPIで対処したケースもあります。最近は制作会社以外の一般のお客様が増えていますので、サポート時の説明の際に専門用語をなるだけ使わないような対応も心掛けています（阿部氏）

事業資産としてのWeb

レンタルサーバー会社のサポートは頼りになるが、やはりWeb担当者が自社のセキュリティ対策を行えることが重要だ。なかなか担当する部署の人数もセキュリティのための予算も増えないとしたら、セキュリティ対策はなかなか進まないかもしれない。現在、新規のWeb立ち上げ案件というと、ブランディングや部門別、キャンペーン用など企業としては初めてではないケースが多く、短期の開発が求められる。こうした場合には、案件優先でセキュリティは後回しになりやすい。

しかし、Webは企業資産であり、Webに何かあったら事業価値が下がってしまいかねないことを企業の共通認識として持つべきであり、Web担当者はそのためにセキュリティがいかに確保されるべきかを上司に提案する必要がある。Webの事業価値を正しく認めてもらい適正な人手とお金を運用にかけられるよう社内プロモーションを行う必要があるだろう。

一度被害を受けた企業はよく理解しています。しかし、本来ならば、サイトの企業における位置づけと、社会的信用失墜のリスクを、事前にきちんと把握するべきです。アクセスした企業のトップページが改ざんされていたら、その人は「被害はそれだけか？　データベースは大丈夫なのだろうか」と疑いますからね。

信頼されていない状態で個人情報などが洩れていない証明をするのは大変だといった話も聞きます。Webを広告媒体だと考えていると、作って終わりという意識になりがちですが、3～5年間運用するシステムととらえ、IT事業の一環と考えていくべきではないでしょうか？（阿部氏）

Web担当者が取り組むべきセキュリティ対策は事前対策以外に、事後のシミュレーションも必要だ。リスクマネジメントのためには連絡先とToDoをそろえた避難訓練的な準備も行っておかなくてはならない。改ざん検知も導入してWebの総点検が可能な体制を作っておきたい。

CPIでは、今後もホスティングサービスのなかのセキュリティ部分を強化していく考えだ。すでにサービス面の機能として、WAF、バックアップ／リストア、改ざん検知は提供しているが、さらなる機能追加も検討していきたいという。と同時に、セキュリティ情報の提供と啓蒙にもこれまで以上に取り組んでいきたいという。

セキュリティ対策は、ユーザーとの連携を深め、一緒に取り組んでいきたい

年数回のセキュリティセミナーはこれまでも開催してきましたが、さらに一歩深めていきたい。WordPressのセキュリティ対策にしても、質と量を充実させボリュームのあるものを提供していきたいと思います。セキュリティのスピードアップも図り、同時に、私たちだけで守れるものではないため、ユーザーとの連携を深め、一緒に取り組んでいきたいと考えています（阿部氏）

Webのセキュリティを守るのは確実なアップデートの適用であり、それを実現するためには企業内でのサイト運用の地位向上が必要だが、安全をサポートしてくれるパートナーとなるレンタルサーバー事業者を選択すれば、安心の度合いは確実に増すだろう。