ポータルサイトを不正アクセスから守る！セキュリティー強化で安心・安全なサイト運用を | ポータルサイトHack

2019/9/18

ポータルサイトを制作する際に必ず聞かれるのがセキュリティー対策についてです。
ミニマムなサイトであったとしても個人情報を扱う上では当然考慮しなくてはなりません。
今回は最低限知っておきたい不正アクセスに関する情報と対策を考えてみようと思います。

大量のアクセスでサイトを閲覧不能にする「DDoS攻撃」

DDoS攻撃とは複数のIPからサーバーに対しいっきに過剰な負担をかけ、サービスを停止させる妨害行為です。
最近だと香港における抗議デモ団体のサイトがDDoS攻撃にあいサービスの利用ができなくなりました。

香港の抗議デモ団体のWebサイトがDDoS攻撃に！黒幕はやはり…？ https://headlines.yahoo.co.jp/hl?a=20190905-00000017-giz-sci

ユーザーを標的にするサイト改ざん

DDoS攻撃はサービス停止を狙っているのに対し、より悪質なのはユーザーを標的にしたサイトを改ざんする行為です。
被害に対する補償も伴うケースもでてくるので注意が必要です。

他のサイトへ転送する改ざん

サイトのページを開くと全く違うサイト（主に詐欺サイト）に転送させる改ざん行為。
ワードプレスのプラグインの中にはこれらの攻撃に弱いものがあり注意が必要です。

不正なファイルをダウンロードさせる

他のサイトへ転送させると同時に不正なファイルを自動でダウンロードさせる行為。
ダウンロードさせられたファイルからPCの乗っ取りを図るなど被害が大きくなる可能性のある危険な改ざんです。

カード情報の抜き取り

ダミーのフォームを表示させ、カード情報を盗み取る改ざん。
ユーザーがうっかり入力・送信してしまうケースがあるので、被害がでる前に対策を施したいところです。

これらの不正に対するセキュリティ対策

ファイヤーウォール

ほとんどのPCに組み込まれている基本的な対策ですが、外部からの不正アクセスやサイバー攻撃に効果的です。
PCに不正な動作を誘発するマルウェアの被害を防ぎます。内部（社内・組織内）のネットワークを守るためのものとなります。

IPS（侵入防止システム）

サイトのアクセスを監視し、悪意のある不正なものに関しては遮断するセキュリティ対策です。
DDoS攻撃に関して効果的と言われています。

WAF（ウェブアプリケーションファイヤーウォール）

ファイアウォールの一種でWEBアプリケーション（ワードプレスなど）に対する不正アクセス・攻撃を防ぎます。
ブラウザから利用可能なアプリケーションについては施しておきたい対策です。

【おまけ】情報セキュリティ10大脅威 2019

IPA（情報処理推進機構）に今年の「情報セキュリティ10大脅威」が掲載されています。
個人では「クレジットカード情報の不正利用」、組織では「標的型攻撃による被害」がそれぞれ1位で、サイトへの被害も懸念されます。
サイトの攻撃以外でもメールを利用した詐欺なども注意する必要がありそうです

IPA（情報処理推進機構）　情報セキュリティ10大脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html

まとめ

弊社でもセキュリティに関するご相談をいただくケースがありますが、レンタルサーバーによっては無料で利用・設定できるものもありますので、ご利用中のサーバー会社にご相談いただくなど今すぐにでも対策を行いたいところです。
新規で契約する際にはきちんと対策が施されているサーバーを選択しましょう。