The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

スパマーがウェブサイトのハッキングでよく利用する手段

サイトのセキュリティ侵害がどのように発生したかを把握することは、攻撃からサイトを守るうえで重要です。この記事では、サイトのセキュリティ侵害につながる恐れがあるセキュリティ上の脆弱性について説明します。

パスワードの不正使用

攻撃では、さまざまなパスワードを試して正しいパスワードを類推する、パスワード類推手法が使われることがあります。パスワード類推攻撃は、よくあるパスワードを試したり、パスワードが検出されるまで文字と数字をランダムに組み合わせてみたりするなど、さまざまな方法を使って実施される可能性があります。この攻撃を防ぐには、類推しにくい安全なパスワードを作成します。Google のヘルプセンター記事で、安全なパスワードを作成するためのヒントをご確認ください。

覚えておく必要がある重要な点が 2 つあります。1 つは、複数のサービス間で同じパスワードを使い回さないことです。攻撃者はユーザー名とパスワードの有効な組み合わせを特定できると、できる限り多くのサービスでそのユーザー名とパスワードの組み合わせを試します。このため、サービスごとにパスワードを変えれば、他のサービスの他のアカウントが不正使用されるのを防ぐことができます。

もう 1 つは、利用可能な場合は、Google 2 段階認証プロセスなどの 2 段階認証プロセス(2FA)を利用することです。2FA を利用すれば、通常はテキスト メッセージ コードなどの動的生成の PIN で、ログイン認証プロセスのセキュリティを強化できます。攻撃者は盗んだパスワードのみではアカウントにアクセスできません。一部の CMS プロバイダでは、2FA の設定に関するガイダンスを提供しています。詳しくは、Joomla!WordPressDrupal のドキュメントをご覧ください。

セキュリティ アップデートを行っていない

ソフトウェアはバージョンが古いと、リスクの高いセキュリティ上の脆弱性の影響を受ける可能性があり、攻撃者はこの脆弱性を利用してサイト全体を不正利用します。攻撃者は脆弱性のある古いソフトウェアを積極的に探します。サイトの脆弱性に気付かないと、サイトが攻撃される可能性が高まります。

注: 脆弱性のパッチを適用するため、サイトにソフトウェア アップデートがあるかどうかを定期的に確認することが大切です。さらに、可能な場合はソフトウェアの自動アップデートを設定し、活用している実行中のソフトウェアにセキュリティ関連のメールサービスがあれば登録することをおすすめします。

常に最新の状態にしておく必要があるソフトウェアの例:

  • ウェブサーバー ソフトウェア(専用のサーバーを稼働している場合)
  • コンテンツ管理システム。WordpressDrupalJoomla! からのセキュリティ リリースなど。
  • サイトで使用しているすべてのプラグインとアドオン

安全性の低いテーマとプラグイン

CMS でプラグインやテーマを利用すれば、高度な優れた機能が加わります。しかし、テーマやプラグインが古かったり、パッチが適用されていなかったりすると、ウェブサイトを脆弱にする大きな原因となります。サイトでテーマやプラグインを使用している場合は、常に最新の状態にしてください。デベロッパーが管理していないテーマやプラグインは削除してください。

信頼できないサイトからの無料のプラグインやテーマには十分注意してください。有料のプラグインやテーマの無料版に悪意のあるコードを追加する方法は、攻撃者の常套手段です。プラグインを削除する場合は、単に無効にするのではなく、サーバーからそのプラグインのファイルを完全に削除してください。

ソーシャル エンジニアリング

ソーシャル エンジニアリングとは、人間の心理を悪用して高度なセキュリティ インフラストラクチャを回避する手法です。このタイプの攻撃では、認証済みのユーザーをだましてパスワードなどの機密情報を提供するよう仕向けます。たとえば、ソーシャル エンジニアリングのよくある形式がフィッシングです。フィッシング行為では、攻撃者が正規の組織を装ったメールを送信して機密情報を要請します。

注: ソーシャル エンジニアリングに関する Google の調査によると、高い効果を発揮したフィッシングのなかには成功率 45% のものもあります。

要請元の身元に確信を持てない場合は、機密情報(パスワード、クレジット カード番号、銀行口座、生年月日など)を絶対に開示しないでください。サイトを複数の担当者で管理している場合は、ソーシャル エンジニアリング攻撃に対するセキュリティ認識を高めるトレーニングを実施することをご検討ください。Gmail ヘルプセンターで、フィッシングに対する基本的な保護方法についての説明をご覧ください。

セキュリティ ポリシーの欠点

システム管理者の方や、自分でサイトを運営している方は、セキュリティ ポリシーの質が低いことが原因で攻撃者にサイトを不正使用される可能性があることを覚えておきましょう。次にその例を紹介します。

  • ユーザーに脆弱なパスワードの作成を許可している
  • 管理者権限を必要としないユーザーに付与している
  • サイトで HTTPS を有効にしておらず、ユーザーが HTTP を使ってログインできるようにしている
  • 未認証のユーザーからのファイル アップロードや、型検査なしのファイル アップロードを許可している

サイトを保護するための基本的なヒント:

  • 不要なサービスを無効にして、ウェブサイトが質の高いセキュリティ管理で設定されるようにする
  • アクセス制御とユーザー権限をテストする
  • ログインページなど、機密情報を扱うページには暗号化を使用する
  • 不審なアクティビティがないかどうかログを定期的に確認する

データ漏えい

機密データがアップロードされ、設定ミスが原因でその機密情報が一般に公開されると、データ漏えいが発生する可能性があります。たとえば、ウェブアプリのエラー処理とメッセージ送信が原因で、処理されていないエラー メッセージで設定情報が漏えいする可能性があります。「ドーキング」という手法を使って、悪意のある人がこのデータを探すために検索エンジン機能を悪用することもあります。

未認証のユーザーに機密情報を知られることがないよう、定期的にチェックを実施し、セキュリティ ポリシーに沿って機密データを信頼できるエンティティに制限してください。サイトに表示されている機密情報が Google 検索結果に掲載されることが判明し、Google 検索結果から至急削除することが必要になった場合は、URL 削除ツールを使って、Google 検索結果から個々の URL を削除することができます。