- 2016年7月1日
- セキュリティについて
不正アクセス・改ざんが相次いでいることについて考えてみた
ここ最近、不正アクセス関連のニュースが連日報道されております。
JTBやまさに今は佐賀の教育関連システムに17歳が侵入したよってケースなどです。
JTB並びにドコモの「dトラベル」、不正アクセスに伴う個人情報流出か!?
教育ICTの先進地佐賀県で17歳が学校のデータをハッキング。自治体のセキュリティ意識の低さが露呈
また新たに別のサイトにて被害が報告されております。
株式会社ニュートン・フィナンシャル・コンサルティングのコーポレートサイトに不正アクセス
保険サービス事業などを展開する株式会社ニュートン・フィナンシャル・コンサルティングのコーポレートサイトやグループ会社のサイトが不正アクセスを受け、不正なコードを埋められたようです。
対応として
①対象サイトの不正コードの削除
②海外から不正アクセスの可能性を遮断
③サーバアプリケーションの脆弱性確認及びバージョンアップ作業
を実施したようです。
個人情報の漏えいは無いとのこと。
JAバンク岩手のウェブサイトが改ざん。
JAバンク岩手のWEBサイトが改ざんされていたことが分かった。
不正アクセスを受け、不正なコードを埋め込まれ、一時的に悪意のあるサイトへ自動的に誘導される状態であったようです。
但し現時点で個人情報流出などは確認されていないとのこと。
対策として
①アクセス制限によるホームページ管理システムのセキュリティ強化
②ホームページを確認し不正コードを削除
③サーバーのウイルス感染の有無のチェック
を実施したようです。
ちなみにこちらのサイトはWordPressで作られております。
また面白いのがJAバンクには東京や神奈川、埼玉など地域ごとにWEBサイトがあるのですが、いくつか確認した限りWordPressを使っているサイトは見当たりませんでした。
(見落としていたらごめんなさい。。。)
ここで勘違いするのが「WordPressってセキュリティ的にまずいんじゃ。。。」となりがちです。確かにそうですよね、WordPressで構築されたサイトが被害にあっているのですから。
だがしかし、これは対策をすれば問題ないです。
対策とは、
- 使っているプラグインなどのバージョンを最新(脆弱性のない状態)に保つ
- 管理画面などにはアクセス制限を施す
等々です。これ以外にも細かくいうと色々あるのですが。
特に一つ目は重要です。意外とサイトをカスタマイズしていたり、バージョンを挙げることにより動かなくなることを懸念したり、そもそも使っているレンタルサーバーが更新を許可していなかったりという理由などで最新版への更新を怠っているケースも見受けられます。
脆弱性のあるプラグインを使っているとそのプラグインに脆弱性があるという情報や詳細が公開されておりますゆえに、悪意のある人間から攻撃を受けやすいのです。
そういった理由から被害にあっているほとんどが、このようにバージョンの古い脆弱なプラグインを利用しているケースです。
ソフトを最新に保ち、設定を施せば、被害にあう確率は格段に下がります。
WordPressは便利なCMSです。ご利用中の方もこれから使ってみたいという方もセキュリティの部分を意識してご利用されることをお勧めします。