不正アクセスの種類や被害と防御法について
インターネットは世界中に張り巡らされており、被害を受けると歯止めなく広がってしまいます。今回は、そもそも不正アクセスとは何かや種類、被害を受けないためにも個人で行える対策方法を解説したいと思います。
不正アクセスの手口
不正アクセスを大きく2種類に分けてご紹介します。
- アカウントとパスワードで第三者により管理画面にログインされてしまう乗っ取り
- Webシステムの脆弱(ぜいじゃく)性※をついた攻撃タイプ
※プログラムの不具合や設計ミスで、安全面での弱点となります。
アカウントの乗っ取り
攻撃者により正規のWebサイトにログインされてしまいます。
半角の英数字などを組み合わせて作成したアカウントやパスワードでログインを試みるパターンで、短くて予想されやすいパスワードを使用していることが一因です。
近年は情報漏洩で流出したアカウント情報を、あらゆるWebサイトでログインを試みる「リスト型攻撃」が増加しています。これは、ユーザーが同一のアカウントとパスワードを様々なWebサイトのログインに使い回しているのが要因です。
また、「admin」などのように推察されやすいアカウント名を設定していると突破される確率が跳ね上がってしまいます。
脆弱性攻撃
WebサーバーのOSやソフトウェア、CMS(WordPress・Movable Type など)にはセキュリティホールと呼ばれる安全上の欠陥(プログラムの不具合などが原因)が存在します。攻撃者はセキュリティホールを見つけてサーバーに侵入し、Webサイトの情報を書き換えたり、情報を盗み取ったりします。
続けて比較的よく知られている脆弱性攻撃を挙げます。
SQLインジェクション
SQLはデータベースを操作・制御するための言語で、インジェクションは注入です。データベースに意図しない命令を入れ込むことを意味します。
この攻撃は、データベースと連動している動的プログラムのWebサイトがターゲットになります。
入力フォームなどでSQL文を送信すると、脆弱性のあるプログラムだった場合には適切に実行されずに誤操作を引き起こします。この手法でデータベース内の情報を抜き出したり、書き換えが行われたりしてしまいます。
バッファオーバーフロー
サーバーに対し大量にデータを送信して誤作動を引き起します。バッファー(記憶装置)がオーバーフロー(溢れかえる)を意味する通りで、許容を超えて溢れ出たデータが隣接する情報を書き換えてしまい、想定外の動作をしてしまいます。
大量アクセスでサーバーに負荷を与えてダウンさせるDDoS攻撃とは違います。
XSS
クロスサイトスクリプティングは、他者が管理する掲示板などの動的ページにスクリプトを埋め込む手法です。サーバー上ではなく閲覧者がブラウザでページを表示した際にスクリプトが実行され、ウィルスに感染したり、詐欺サイトに誘導されたりの被害を被ります。第三者のWebサイトを横断(クロス)することからこの様に呼ばれています。
不正アクセスによる被害
WebサイトやSNSの書き換え
管理画面に不正にログインされてしまうと、Webサイトの内容が間違った内容に書き換えられたり消去されたりします。SNSでは本人になりすましてDMを送ったり、繋がっている友人から情報を引き出したりします。
個人情報を盗み取られる
管理画面に登録している電話番号やメールアドレスなどの個人情報や、クレジットカード情報が盗み取られてしまいます。
情報の漏洩
企業の場合、サーバーに保存している顧客情報や重要情報が流出してしまうと、管理責任の甘さから信用を失い、社会的に大きなダメージを受けます。
踏み台にされる
迷惑メールやDDos攻撃の中継地点(踏み台)として悪用されてしまいます。サーバーのリソースを使われて負荷が高まり、自身のWebサイト処理が遅くなります。さらに被害者になるだけでなく、攻撃者として加害者となってしまうため社会的信用も失います。
不正アクセスから身を守る方法
Webサイト運営者ができる対策
脆弱性をなくす
ソフトウェア設計の不十分さやプログラムのコーディングミスがセキュリティホール(欠陥)を招いてしまいます。開発やコーディング時に予め予防策を取る・完成したプログラムのセキュリティ診断が必要です。
管理権限を正しく設定
サーバーに保管しているファイルやフォルダへの書き込みや実行権限が外部から許可されていたりすると、第三者によりファイルを書き換えられたり、アップロードされたりの不正操作をされてしまいます。
OSやソフトウェアをバージョンアップ
どのようなハードウェアやプログラムも完全ではなく、設計上のミスやバグがつきものです。それらを補うためにアップデートやバージョンアップが行われています。通知が来たら必ず更新しましょう。
CMSのバージョンアップ
CMSの中でも特にWordPressは利用者が多く、無料のオープンソースである点から(攻撃者が構造を把握できる)攻撃対象になりやすいのです。CMS本体のプログラムだけではなく、プラグインやテンプレートも必ずアップデートが必要です。未使用のプラグインは放置せず、アンインストールして危険因子を減らす工夫をしましょう。
セキュリティソフトの導入
Webサイトの脆弱性を定期的に診断し、不正な改ざんやマルウェアを検知するサーバー用のセキュリティツールの導入をおすすめします。企業やECサイトは、不正アクセスによる情報漏洩や改ざんの被害を受けるとWebサイトの停止にまで追い込まれます。
「SiteLock」はWebサイトへの不正アクセスによる改ざんやウィルスを監視・調査し、自動で復旧します。面倒なインストールは不要で、管理画面上で操作・設定するだけで利用可能です。
2段階認証を導入する
通常のアカウントとパスワードを使った認証だけでは第三者に簡単にログインされてしまいます。管理画面のログイン時に管理者本人にメール、もしくはSMSで通知が届く2段階認証を取り入れると、不正ログインを事前に防御できます。
「Value-Auth」なら、メール認証は1ケ月100通までは無料、SMS認証は7.5円(10,000通の場合)と業界最安値です。
WordPress管理画面のログイン用プラグインも提供しており、設置も簡単です。
ユーザー側ができる対策
ログイン情報を使い回さない、工夫する
管理が煩わしいという理由でログイン用のアカウントとパスワードを使い回す人がいますがおすすめできません。もしログイン情報が漏洩してしまった場合、この情報を使って他サービスでログインを試み、連鎖的に被害が増大します。
異なるWebサイトでの同一アカウントとパスワードの流用は絶対に避けてください。
策としては、アカウント名に「admin」「administrator」を使うのはやめましょう。パスワードは数字、大文字・小文字のアルファベット、記号を組み合わせて複雑化し、長めの文字列を設定します。
OSやブラウザをアップデート
OSやブラウザもソフトウェアの1つで、セキュリティホールが存在します。これらを修復するためのパッチやプログラムは頻繁に配布されていますが、都度更新して、常に最新の状態に保つようにします。
パソコンにセキュリティソフトをインストール
迷惑メールやウィルスメールを事前にブロックして、安全にメールの送受信が行えます。さらに詐欺サイトやマルウェアサイトなど、危険・不審なWebサイトへのアクセス時には警告を出してくれるので安心です。
Norton(ノートン)やMcAfee(マカフィー)が有名です。
攻撃者に狙われやすいWordPress
WordPressをターゲットとした不正アクセスによる改ざん被害が急増しています。
世界のWebサイトの3割以上を占めるWordPressは、攻撃対象となりやすいのです。
攻撃者により管理画面に不正ログインされると、投稿内容を改ざんされたり、ウィルスを仕組まれたりしてしまいます。
WordPressの管理者側ができる対策
- WordPress本体のプログラム・プラグイン・テンプレートのバージョンアップは必ず行う
- 管理画面へのアクセス元をIPアドレスで制限する
- 管理画面のログイン時には、SMSやメールでの2段階認証機能を設ける
「Value-Auth」はWordPressのプラグインをご用意しております。 - データベースのテーブル接頭辞はデフォルトの「wp_」のままでなく、別の文字に変更する
- PHPファイルのパーミッションは「604」に設定し、外部からの書き込みを禁止する
- 投稿者名を表示させる場合は、ニックネームを設定する
WordPressのニックネームの設定方法
- 1.管理画面の左なび「ユーザーページ」を開き、ユーザー名をクリックします。
- 2.①任意のニックネームを入力
②入力したニックネームをプルダウンより選択
③ページ下部にある「プロフィールを更新」を押します。
おすすめのセキュリティツール
Webサイトのセキュリティ強化支援ツール
マルウェアや改ざんなどインターネット上の脅威からWebサイトを守ります。
ご利用は管理画面で必要事項を登録するだけで、専門知識などは不要です。
世界で1,200万件以上もの導入実績があります。
ログイン時の2段階認証でセキュリティアップ
Webサービスやアプリなどの会員登録時の本人確認、およびログイン時の2段階認証を低価格・容易に実現できるサービスです。
SMS・メールによる認証で、第三者による不正ログインや虚偽登録から防御します。
安心してご利用いただける様、ライブチャットやメールでのサポートにも対応しております。Webサイトで「マニュアル」や「よくある質問」も公開しており、24時間いつでも閲覧できます。
おわりに
不正アクセスの重大性についてご理解いただけたでしょうか。
ここまで述べた内容を要約すると…
- 不正アクセスは「アカウントの乗っ取り」と「脆弱性攻撃」が代表的。
- 不正アクセスによる被害は、Webサイトの改ざん・情報漏洩・踏み台などがある。
- 被害者になるだけでなく、加害者になってしまう場合もある。
- 防止策として、ソフトウェアのアップデートやセキュリティソフト導入、ログイン情報の使い回しの禁止を徹底する。
Webサイトやサーバーに大切な情報がないからといって安心はできません。
不正アクセスにより思いもよらない被害に遭う場合もありますので、十分な対策を行いましょう。
バリュードメインでは、
ドメイン1円!やドメイン・サーバー同時契約でドメイン更新費用永久無料!など
お得なキャンペーン実施中です。
是非、お得なこの機会にご利用ください!
最新のキャンペーンはこちらから
GMOデジロック インフラエンジニア
データセンター周りから運用まで担当しております。営業職からエンジニアに転職して15年。趣味は自然に触れる事と音楽鑑賞。
▽登壇実績
https://cloud.watch.impress.co.jp/docs/event/1080198.html
