今年2020年はサイバー攻撃が急増しています。
ホームページをはじめ、オンライン需要が急速に高まっている状況に便乗しているせいかもしれません。
参照:リモート接続ねらうサイバー攻撃が急増 テレワーク増加で – NHKニュース
参照:600超の組織にサイバー攻撃 テレワーク機器の欠陥悪用 – 47NEWS
例えば、、最近やたらと迷惑メールが増えていると感じませんか?
他にも、世界的著名人のTwitterアカウントが乗っ取られたことが話題になりました。
先日、私たちCHACO-WEBでもメール攻撃に遭い、更なる対策をいたしました。
お客さまでも被害を受けた方がおられ、いつ誰がサイバー攻撃に遭ってもおかしくない状況です。
参照:【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について – セキュリティ対策のラック
せっかく手間とお金をかけて作ったホームページが攻撃をうけてしまうと、打撃は大きいものです。
対応にリソースを割かなければならず、信頼を損ねてしまう可能性もあります。
今回の記事では怖さを知ってもらいたいため、なるべく専門用語を使わずサイバー攻撃について書いています。
また、どう防ぐか具体的に紹介しています。ぜひ対策方法だけでも確認し、実践していただければと思います。
サイバー攻撃とはどういうもの?
サイバー攻撃とは、サーバーやパソコンに対してシステムを破壊したり、改ざんしたり、データを抜き取ることをいいます。
例1)
サーバーに侵入し、ホームページにウイルスを仕込む。
ホームページを閲覧した人のパソコンやスマートフォンがウイルスに感染し、情報を盗まれてしまう。
例2)
ホームページのメールフォームから大量のスパムメール(迷惑メール)を送りつける。
メールを開いたり、メール内のリンクをクリックしたり、添付ファイルを開いたりすると、パソコンやスマートフォンがウイルスに感染してしまう。
パソコンに保存したパスワードなどの情報が盗まれてしまう。
更に自分のメールアドレスが乗っ取られ、勝手にウイルスが挿入されたメールを他の人に送り始める。
例3)
ホームページのアプリケーションを狙って不正アクセスをする。
データベースに侵入し、顧客の個人情報、銀行情報、クレジットカード情報が漏えいしてしまう。
サイバー攻撃の目的
サイバー攻撃の目的はさまざまです。金銭目的、産業スパイ、私怨、愉快犯、攻撃相手の信頼を落とすため、腕試しなど。
目的がはっきりと明らかになることは稀です。
手口は巧妙化、完全な防御は不可能
年々、サイバー攻撃の手口は巧妙化しています。
対策を講じると、また次の手段が現れるといった具合です。技術の進化にともない、攻撃側も進化を続けます。
そのため、100%攻撃を防ぐことはできません。
何が怖い?サイバー攻撃の被害に遭うとどうなるか
サイバー攻撃の被害に遭ってしまうと、多くの人が不利益を被ることになります。
自分の会社だけではなく、お客さまや取引先にも影響が出てしまうのです。
例えば以下のような事態が発生します。
- 顧客の個人情報、銀行やカード情報を盗まれる
- 社内の機密情報を抜き取られる
- ホームページに細工され、更にウイルス感染させる攻撃側にされてしまう
- まったく別のホームページに書き変えられてしまう
- メールアドレスが乗っ取られ、勝手にスパムメールを送信する側にされてしまう
怖いのは、自分が他の人を攻撃する側に仕立てられてしまう可能性があることです。
また、しばらくパソコンが使えない、メールが使えない、ホームページを一時閉鎖しなければならないなど、業務に多大な支障が出ます。
ホームページを開こうとしたら、警告を表示されてホームページにアクセスできない、という経験があるかもしれません。
これは、ブラウザが危険なホームページにアクセスブロックをして、被害が拡大しないように警告を表示することがあるからです。
こうして防ごう!セキュリティ対策の具体案
サイバー攻撃から身を守る対策は、大きく分けて3つです。
- ホームページを守る
- 仕事で使うパソコン、スマホ、タブレット、USBメモリなどデバイスを守る
- 社内でセキュリティ意識を高め共有する
ホームページを守る
- WordPressなどCMSのバージョンをこまめにアップデートする
- サーバーのFTPパスワードを複雑な文字列に変更する
- SSL対応をする
- 問い合わせフォームにreCAPTCHAを設定する
- WAF(ワフ)を導入する
- アクセス制限をかける
- ホームページのバックアップをとっておく
WordPressなどCMSのバージョンをこまめにアップデートする
ワードプレスは、できるだけ最新のバージョンにしておきます。
古いバージョンの脆弱性を突いてサイバー攻撃を仕掛けてくることが多いからです。 稀に、バージョンのアップデートにより不具合が起きることがあります。アップデート前に必ずバックアップをとっておきましょう。
サーバーのFTPパスワードを複雑な文字列に変更する
サーバーを契約してから一度もパスワードを変更していない、ということはありませんか?
もしまだなら、今すぐ破られにくいパスワードに変更しましょう。
小文字、大文字、数字、記号を組み合わせるようにします。
SSL対応をする
SSLは、アクセスを暗号化し、個人情報が抜き取られるのを防ぐことができます。
現在は対応していないページに警告を出すブラウザが主流なため、対応しておきたいところです。
対応すると、ホームページは「https://」から始まるアドレスに変わります。
問い合わせフォームにreCAPTCHAを設定する
reCAPTCHAはロボットからのスパムメールを防ぐのに活躍します。
メールフォームから迷惑メールが大量に届くのにお困りの方におすすめです。
次回当たりのブログ記事で詳しくご紹介する予定ですが、CHACO-WEBでも導入し効果には満足しています。
WAF(ワフ)を導入する
WAF(ワフ)とは、Webアプリケーション ファイアウォール(Web Application Firewall)の略で、ホームページへの不正アクセスを防止してくれるツールです。
レンタルサーバーで設定できることが多いので、確認してみましょう。
アクセス制限をかける
アクセス制限は、特定のIPアドレスからホームページアクセスをブロックします。攻撃を仕掛けてくるIPアドレスがわかる場合に有効な方法です。
また、海外からのアクセスを制限することもできます。
ただし、国外からアクセスを制限してしまうと、集客の機会を逃してしまうことがあるのでご注意ください。
ホームページのバックアップをとっておく
ホームページのバックアップとは、ホームページデータを保管しておくことです。
バックアップは攻撃を防ぐものではありません。しかし、実際に被害に遭った場合にすばやく復旧するにはバックアップデータが欠かせません。
もし、バックアップがなければ、最初から作り直すことになってしまいます。
仕事で使うパソコン、スマホ、タブレット、USBメモリなどデバイスを守る
- パソコン、スマートフォン、タブレットなどにセキュリティソフトを導入する
- OSを最新版にアップデートする
- ソフトウェア、アプリを最新バージョンにアップデートする
- USBドライブに不審なファイルを入れない、紛失しない
- 不審なメールを開かない
パソコン、スマートフォン、タブレットなどにセキュリティソフトを導入する
仕事で使用するデバイスにセキュリティソフトを導入して保護します。
現在はリモートワークが増えていることから、ネット接続環境も人により異なるはずです。
まずは個々のデバイスのセキュリティ強化をしましょう。
OSを最新版にアップデートする
最新バージョンには大抵バグ修正が含まれています。
アップデートすることは、すなわちセキュリティ強化になる、ということです。
ソフトウェア、アプリを最新バージョンにアップデートする
こちらも同じ理由で、最新バージョンを使うことは重要です。
古いバージョンの脆弱性を突いた攻撃から身を守ることができます。
新バージョンが使いにくいと感じることがあるかもしれません。
その時には開発者へ具体的な要望をフィードバックとして送ってみましょう。
USBドライブに不審なファイルを入れない、紛失しない
外付けのドライブに不審ファイルが入ることが無いよう注意しましょう。
また、紛失は情報漏えいのきっかけを招きます。
定位置で保管することに決めるなど、取り扱い方法を具体的に決めるのがおすすめです。
不審なメールを開かない
不審なメールは開かず削除、を徹底しましょう。
銀行やアマゾンなどを装って送ってくるメールも多いので注意したいところです。
こちらで迷惑メールについての具体的な注意情報が書かれています。
参照:迷惑メール相談センター | デ協 – 日本データ通信協会
社内でセキュリティ意識を高め共有する
社内やチーム、家庭内でも意識を共有し、皆で対策行動をとることをおすすめします。
できるだけ具体的に対策の行動基準を決めるのが良いでしょう。
「気をつけましょうね」といった曖昧な表現は避けるべきです。
セキュリティ対策は、自分一人で気を付けていても効果は不十分です。
家の窓1か所だけ厳重に鍵をかけていても、他の窓やドアがすべて空いていたらどうでしょうか。戸締りをしていることにはなりませんよね。
リモートワークにより、今では家庭内でもセキュリティ対策をするべきです。
意識を高めれば、個人を狙うサイバー攻撃も予防できます。
まとめ
セキュリティ対策は、他人事ではありません。
ぜひ「明日は我が身」として捉え、対策をしていただければと思います。
2020年はサイバー攻撃が急増しており、おそらく来年もこのような状態が続くのではないかと思われます。誰もが攻撃を受ける可能性があるということです。実際に攻撃を受けてしまうと損失は大きいものです。
会社やサービス、商品への信頼を損なう危険性も高く、事業に打撃を与えます。
お客さまや取引先への被害を招くことがある点にも注意したいところです。
攻撃手法が進化するために100%防ぐ方法はないのですが、何もしなければそれだけ危険を高めます。
- ホームページのセキュリティを強化する
- デバイスのセキュリティを強化する
- 社内でセキュリティ対策を強化する
これらに注意して、ぜひ対策を進めましょう。
自社ホームページがサイバー攻撃に遭っていないか、定期的にパトロールしてみましょう。早期発見は素早い解決のカギとなります。
放置しているうちに被害が拡大し、お客さまや取引先にまで大きな影響を与えてしまうと、信用にかかわります。
定期チェックでこまめに更新しながら改良していけば、ホームページの実力も上がり一石二鳥です。