不正アクセスによる個人情報の流出のニュースをよく聞くから恐いな。
でも、個人ブログや個人営業はターゲットにならないよね?
大きな企業ではないからサイバー攻撃されない、重要な情報はないから「大丈夫!」っていう妙な安心をしていませんか?
つい最近の9月20日に家具メーカーのニトリが不正アクセスによって13万件の個人情報が漏洩したとニースされました。
セキュリティ:ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で https://t.co/oUcEk63ON6
— Webクリエイター ボックス (@webcreatorbox) September 22, 2022
ブログやホームページを公開していれば、誰でも攻撃される危険があります。今回はサイバー攻撃やその対策についてまとめました。最後までお付き合いくださいね。
2022年のサイバー攻撃の傾向
サイバー攻撃とはインターネットを通してパソコンやサーバーなどを狙う攻撃です。
不正アクセスによる情報漏洩やランサムウエア感染による身代金の請求やシステムの停止などが起きています。
- トヨタ関連企業がサイバー攻撃により生産ライン停止
- 政府運営のサイトがハッカー集団により閲覧不能
- 家具メーカー・ニトリが不正アクセスによる情報流出
多くの企業や組織が個人情報・機密情報の流出、新規患者の受入れ停止、サービス障害、金銭被害等の事態が発生しています。
被害件数は中小企業が多い
ニュースになるのは大手企業ばかりなので、サイバー攻撃の被害は大手企業に多いと思われますか?
実は警察庁の「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると中小企業の方が多く、全体の52%を占めています。
復旧にかかった日数は1週間以上が8割です。かかった費用は100万円以上が8割でその中で1000万円以上支払った企業が半数以上ありました。
サイバー攻撃による被害は個人では手に負えないレベルになっています。
サイバー攻撃は脆弱性を狙う
サイバー攻撃はシステムや機器の脆弱性(ぜいじゃくせい)を狙って攻撃します。プログラムの弱点、欠陥にセキュリティリスクがある状態を脆弱性といいます。
被害は国外でも起こっており、燃料供給の停止や航空機の運航停止が起きました。政府関連やインフラ企業に対するサイバー攻撃が多発しているため国家の関与が疑われています。
政府運営の「e-Gov」が親ロシア派のハッカー集団に襲われました。また、ロシア軍がウクライナに進行する前にロシアからのウクライナではサイバー攻撃が多発しました。政治的な要因でサイバー攻撃にあうようになりました。
警察庁によると脆弱性を探している怪しいアクセスは海外を送信元としており、海外からのサイバー攻撃などの脅威が引き続き高まっています。
サイバー攻撃はサーバーやパソコンなどの情報機器だけでなくIoT機器に対する脆弱性も対象にしています。
サイバー攻撃の種類
サイバー攻撃の種類は沢山ありますが、攻撃の目的は、サーバーやシステムの停止や情報流出、ウィルスの感染を狙っています。
- パスワードリスト攻撃
- 総当たり攻撃(ブルートフォースアタック)
- 逆総当たり攻撃
- DOS/DDOS攻撃
- F5攻撃
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- バッファオーバフロー
- ゼロデイ攻撃
- ドライブバイダウンロード攻撃
- 標的型攻撃
- 水飲み場攻撃
サイバー攻撃について知るおすすめサイト
サイバー攻撃は他にもあります。リンクのサイバー攻撃について読んでみてください。また、日々攻撃の精度が上がっているので、今後も増えて行きます。セキュリティの第一歩はどんな攻撃があるのか知ることです。
安心してインターネットを使うために国民のための情報セキュリティサイト【総務省】
Twitterをしているなら、下のセキュリティ系アカウントもおすすめです。
警察庁サイバーセキュリティ対策本部(@MPD_cybersec)
内閣サイバー(注意・警戒情報)(@nisc_forecast)
セキュリティ対策は5つの分野で行う
攻撃や被害から考えると5つの方面でのセキュリティ対策が考えられます。
- レンタルサーバー
- インターネット環境
- 使用するパソコンや端末など
- ホームページやブログ
- 人や組織
レンタルサーバー
レンタルサーバーのセキュリティ対策はセキュリティ対策をしているところを選ぶことが重要です。チェックポイントをまとめました。
すでにレンタルサーバーを契約してしまった人、これから契約する人も、あなたのレンタルサーバーはどんなセキュリティ対策を行っているか確認してみましょう。
- SSL
- WAF
- IDS/IPS
- アクセス制限
- Web改ざん検知
- メールフィルター
- バックアップ
- アクセスログのチェック
さくらのレンタルサーバ スタンダード
やエックスサーバー
は上のチェック事項は全てクリアしているので、セキュリティ対策がしっかりしていると思います。
SSL(Secure Socket Layer)
SSLはインターネット上の情報を暗号化して送受信するプロトコルです。
最近は常時SSL化が当たり前になっていますので、よほでのレンタルサーバーでなければ無料SSLはあります。有料のSSLがありますが無料で十分だと思います。
WAF(Web Applocation Firewall)
ファイアウォールの一種であなたのブログを守ります。ある一定のパターンを持った通信を不正と判断し不正アクセスを遮断します。
そのため、先にパターンの定義が必要になります。そのため情報処理推進機構は脆弱性に対する被害の緩和対策と考えています。
IPAでは、WAFによる対策を脆弱性による被害の緩和対策として位置づけており、ウェブサイトに脆弱性が発見された場合は、ソフトウエアの修正等の根本的解決やWAFの導入等の保険的対策の両面から検討し、対策を実施していただくことを推奨しております。
情報処理推進機構のWAF読本補足資料より
また、ファイアウォールとは外部からの内部ネットワークへのアクセスを防ぐセキュリティ対策で、送信元と送信先の情報を元に制限します。Windows10にもファイアウォールの設定がありますが、こういったパソコン一台ごとにするものを特にパーソナルファイアウォールとよんでいます。
IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)
IDSは不正侵入検知システム、IPSは不正侵入防止システムといいます。
IDS/IPSはサービスの停止につながるようなデータを大量に送りサーバへ負荷を与える攻撃に効果があります。
IDSは不正アクセスの監視をし、不正があれば検知して知らせてくれます。IPSは不正アクセスの検知し、そのアクセスを遮断します。
アクセス制限
サーバーへのアクセスを制限します。ファイルへのアクセスに制限を設けたり国外からのアクセスを制限します。
あなたが日本国内で更新作業を行うならば、国外からのアクセスを拒否しましょう。不正アクセスは海外の送信元が多いので海外からのアクセスは拒否します。
メールフィルター
スパムメールやウィルスチェックフィルターのことです。うっかり開いてパソコンが感染したり、悪意のあるプログラムをインストールしてしまってはいけませんので、この機能は重要です。
その他に、レンタルサーバーが提供するアクセスログで怪しいアクセスがないか確認することを忘れないようにしてください。サーバーへのログインは強力なパスワードの設定とパスワードの変更も合わせて行ってくださいね。
インターネット環境
ファイアウォールを設定して外部からアクセスされない仕組みを構成します。特に個人のパソコンで行うファイアウォールをパーソナルファイアウォールいいます。これはセキュリティソフトでも行う事ができますし、Windowsにも標準で搭載されていますので必ず設定しましょう。
有線LANよりも無線LANやWi-Fiは危険が潜んでいます。無線LANの電波は傍受されやすいので信号を暗号化しましょう。
- 無線ルーターの設定
- ファイアウォール
使用するパソコンや端末など
OSやソフトウエアの脆弱性を悪用して感染します。添付ファイルを開かなくても、メールを見ただけ、ホームページを見ただけでも感染します。
OSやソフトウエアが脆弱性を修正するプログラムを提供したら、必ずアップデート、インストールしましょう。脆弱性に対するセキュリティはそれしかありません。そのため自分が使っているパソコンについてどんな脆弱性があるか、どんなソフトを使っているか把握しておくことも大事です。
- セキュリティソフトの導入と運用
- OSやソフトの定期的なアップデート
- のぞき見防止フィルターを貼る
- 使用できる人を制限する
私はウイルスバスタークラウド
の3年間を利用しています。問題なく稼働しています。
でも、一つだけ欠点があり、更新が近づくとDMが多くなります・・・。
USBなどのメモリから感染する
USBなどのメモリ(外部記憶媒体)のファイルを開くと感染する場合があれば、セキュリティ対策が十分でないパソコンでは、メモリと接続しただけで感染する場合があります。
USBメモリなど外部記憶媒体を使用する際は、以下のことに気をつけましょう。
- 自分が管理していないメモリは、自分のパソコンに接続しない
- 自分が管理していないパソコンには自分のメモリを接続しない
- 接続後の自動実行機能はOFFにする
- メモリもセキュリティソフトでスキャンをして確認する
あなた以外にパソコンを共有しているような場合は目モリの使用ルールを決めるといいでね。
ブログやホームページ
入力フォーム使ったサイバー攻撃には、入力フォームを最小限にして対策しましょう。また、コメント入力もセキュリティの面から設置しないほうが無難です。
ブログで多く使われているシステムのWordpressは特にサイバー攻撃に狙われやすいです。セキュリティ系プラグインを入れるなどしてセキュリティの強化につとめましょう。
- 常時SSL化する
- 不要なファイルはアップロードしない
- ホームページが感染していないかチェックする
- WordPressなどのCMSはアップデートする
- WordPress用のセキュリティプラグインをインストールする
- 入力フォームは選択肢など必要最小限にする
- 悪意のあるプログラムや言葉を受信や返信しないようにする
ホームページのセキュリティ診断をする
レンタルサーバーのオプション契約にホームページのセキュリティ診断があります。たとえば、GOクラウド株式会社の「SiteLock」があります。Web改ざんや悪意のあるプログラムの駆除、Wordpressの脆弱性などをチェックします。ただ、現在はまだレンタルサーバー代より高いので予算に余裕がある方向けです。
無料でセキュリティ診断ができる方法を紹介します。
gred
株式会社セキュアブレインが開発運営する有料プランの一部を無料でチェックできます。URLを入力するだけで、改ざんやウィルスに感染していないか確認することができます。
Google Search Console
グーグルのアカウントをお持ちならば、グーグルのサーチコンソールもオススメです。サーチコンソールはホームページがどのように検索されているか分析するときに使います。「セキュリティと手動による対策」に「セキュリティの問題」の項目があります。
人や組織
- パスワードの強化
- パスワードや重要な情報の管理方法
- パソコンや端末の使用管理
- 不正ログインのチェック
- 情報セキュリティの認識を共有する
- 不用にクリックしない
- 怪しいメールは開かない
- 警告は一度疑う
怪しいメールは開かない
ウィルスはメールの添付ファイルに潜んでいる場合が多くあります。送信元が分からない添付ファイル、メールアドレスが不自然なメール、少しでも「怪しい」と感じたメールは開かないことです。
サーバーのメールフィルターでウィルスチェックやスパムメールを振り分けることができます。しかし、標的型の攻撃は相手を絞って攻撃を仕掛けますのでフィルターをすり抜ける可能性があります。
それには、怪しいメールを見分ける能力が必要になります。ちょっとしたポイントでぐんと見分けられますよ。
- 添付ファイルの拡張子を確認する
- メールアドレスを確認する
- 件名に無駄なスペースや記号が入っていないか確認する
- 「怪しい」メールは同じような経験をした人がいないか検索をする
添付ファイルの拡張子が二重になっている場合、テキスト文書なのに.exeや知らない拡張子になっている場合は「怪しい」ので開かないようにしましょう。
最後に
たくさんのサイバー攻撃を紹介しました。サイバー攻撃から身を守るには、サーバー、インターネット、パソコン、ホームページ(ブログ)、自分自身の5方面からセキュリティ対策を講じなければなりません。
なんだか難しそうかもしれませんが、セキュリティ対策は一度設定したらOKなものから、プログラムの更新でいいもの、自分自身で気をつけることなどあります。ちょっとでも「怪しい」と思うことが危険回避につながります。
レンタルサーバーは性能や機能はもちろんのこと、困った時のサポートセンターの対応も重要ですよね。よくある質問やマニュアルが分かりやすい、啓蒙ブログがあるエックスサーバーは頼りになりますよ。
