サイバー攻撃とセキュリティ対策について

かぎ:セキュリティ対策についてホームページ

セキュリティ対策と言われても・・・?どんな危険性があるのかサッパリわからないし、どんなことをするのか分からないわ。セキュリティソフト入れてあるけど、それではダメなの?

今回はこんなお悩みに添えたらいいなぁと思います。

  • セキュリティ対策って何なの?
  • ホームページを公開しているとどんなキケンがあるの?
  • 個人のホームページには攻撃されないでしょ?
  • セキュリティ対策はウィルスソフトを入れれば安心でしょ?

大きな企業ではないからサイバー攻撃されない、重要な情報はないから「大丈夫!」っていう変な安心感がありませんか。ホームページを公開していれば危険があります。ホームページやサーバーに不正アクセスして情報を盗むだけではなく、ホームページを改ざんしてそこから足がかりにして、他のホームページや誰かに攻撃を加える可能性があります。

今回は攻撃されない、攻撃の足がかりにならないために、初心者目線でセキュリティ対策をまとめました。よかったら参考にしてみてくださいね。

目次にはリンクが張ってありますので、気になるところに飛ぶことができます

サイバー攻撃について

サイバー攻撃は脆弱性を狙って攻撃します。「脆弱性」は「ぜいじゃくせい」と読みます。簡単にいうと「弱点、欠陥」です。これをセキュリティーホールとも言います。

ゲームやスポーツの勝負でも相手の弱点を狙って攻撃しますよね。悪意のある人ならなおさら弱点や欠陥を狙います。じゃぁ、弱点をなくせばいいのですがそれができないのです。メーカーが弱点を補強するようなプログラムを作っても、新たに弱点を発見され攻撃が進化していきます。

そのため、プラグラムやソフトウエアの更新やアップデートをこまめにしておく必要があります。

サイバー攻撃の種類

攻撃法は沢山あります。名前が似ていますし、内容も似ているので、「こんなに色々あるんだな」と知っているだけでも違います。

不正ログイン

アクセス権がない人や管理者以外がデータにアクセスする攻撃です。IDやパスワードが合致してアクセスできます。不正に入手して、または思いつく文字列の総当たりによって不正にアクセスを試みようとします。

  • パスワードリスト攻撃
  • 総当たり攻撃(ブルートフォースアタック)
  • 逆総当たり攻撃

システムの停止

意味の情報やリクエストを大量に送ってサーバーの機能停止を狙った攻撃です。

  • DOS/DDOS攻撃
  • F5攻撃

脆弱性を狙った攻撃

通販サイト以外のサイトでも狙われる攻撃です。お問い合わせやページ内検索、コメント機能が備わったホームページは気をつけなくてはいけない攻撃です。入力欄に情報を引き出す言葉やプログラムを挿入して、その反応をサーバーから得る攻撃です。

  • SQLインジェクション
  • クロスサイトスクリプティング
  • ディレクトリトラバーサル
  • バッファオーバフロー
  • ゼロデイ攻撃

特定の人・企業がターゲット

よくあるのがホームページを見ただけ、クリックしただけ、メールに添付したファイルを開いたことによって悪意のあるウィルスやプログラムに感染する被害です。感染経路はインターネット上どこでも可能性があるので用心が必要です。

  • ドライブバイダウンロード攻撃
  • 標的型攻撃
  • 水飲み場攻撃

サイバー攻撃について読むべき記事

サイバー攻撃は他にもあります。リンクのサイバー攻撃について読んでみてください。また、日々攻撃の精度が上がっているので、今後も増えて行きます。セキュリティの第一歩はどんな攻撃があるのか知ることです。

サイバー攻撃とは?その種類・事例・対策を把握しよう

安心してインターネットを使うために国民のための情報セキュリティサイト【総務省】

情報処理推進機構「情報セキュリティ対策」

どんな対策をとればいいのか?

攻撃や被害から考えると5つの方面でのセキュリティ対策が考えられます。

  1. レンタルサーバー
  2. インターネット環境
  3. 使用するパソコンや端末など
  4. ホームページやホームページ上のプログラム
  5. 人や組織

レンタルサーバー

レンタルサーバーにホームページのデータを保存しています。また、サーバーがホームページを訪れた人の要求に応えてページやデータを返します。そのため、サーバーに不正アクセスがあった場合想像できないような大きな被害になります。

すでにレンタルサーバーを契約してしまった人、これから契約する人も、あなたのレンタルサーバーはどんなセキュリティ対策を行っているか確認してみましょう。

  • SSL
  • WAF
  • IDS/IPS
  • アクセス制限
  • Web改ざん検知
  • メールフィルター
  • バックアップ
  • アクセスログのチェック

セキュリティ対策がしっかりしているレンタルサーバーなら、カゴヤ・ジャパンエックスサーバーは上のチェック事項は全てクリアしています。

SSL(Secure Socket Layer)

SSLはインターネット上の情報を暗号化して送受信するプロトコルです。

「送受信」なので、利用者には個人情報やクレジットカードなどの大切な情報を守るとともに、サイト側は悪意のある人からの送信を防ぐ事ができます。

最近は常時SSL化が当たり前になっています。また、無料のSSLが装備されているレンタルサーバーがほぼ全てです。なので、あまりここはチェックしなくてもいいかもしれません。SSLの有料プランがあり、そちらの方がより信頼度が高いので神社サイトに訪れる人と親密な交流をしたい人には検討してもいいと思います。

WAF(Web Applocation Firewall)

ファイアウォールの一種でホームページを狙った攻撃からホームページを守ります。ある一定のパターンを持った通信を不正としてアクセスの許可を与えません。

そのため、先にパターンの定義が必要になります。そのため情報処理推進機構は脆弱性に対する被害の緩和対策と考えています。

IPAでは、WAFによる対策を脆弱性による被害の緩和対策として位置づけており、ウェブサイトに脆弱性が発見された場合は、ソフトウエアの修正等の根本的解決やWAFの導入等の保険的対策の両面から検討し、対策を実施していただくことを推奨しております。

情報処理推進機構のWAF読本補足資料より

また、ファイアウォールとは外部からの内部ネットワークへのアクセスを防ぐセキュリティ対策で、送信元と送信先の情報を元に制限します。Windows10にもファイアウォールの設定がありますが、こういったパソコン一台ごとにするものを特にパーソナルファイアウォールとよんでいます。

IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)

IDSは不正侵入検知システム、IPSは不正侵入防止システムといいます。名前通りの働きをします。IDSは不正アクセスの監視をし、不正があれば検知して知らせてくれます。IPSは不正アクセスの検知し、そのアクセスを遮断します。

IDS/IPSはサービスの停止につながるようなデータを大量に送りサーバへ負荷を与える攻撃に効果があります。

アクセス制限

これは固有のシステムではないのですが、サーバーへのアクセスを管理者以外は制限する方法です。その一つにIDとパスワードがあります。それだけでは心許ないのでサーバのファイルへのアクセスに制限を設けたり国外からのアクセスを制限します。

神社サイトですので、一般的に管理者は日本国内の人に限られます。また、国内で更新作業を行うと考えられるので、国外からのアクセスを拒否してもいいと思いますよ。

メールフィルター

ざっくり「メールフィルター」と書きましたが、スパムメールやウィルスチェックフィルターのことです。うっかり開いてパソコンが感染したり、悪意のあるプログラムをインストールしてしまってはいけませんので、この機能は重要です。

不必要に大量に送られてくる意味のないメールをスパムメールといいます。このフィルターにひっかかったメールは中を見ずに削除をすれば大丈夫です。

その他に、レンタルサーバーが提供するアクセスログで怪しいアクセスがないか確認することを忘れないようにしてください。サーバーへのログインは強力なパスワードの設定とパスワードの変更も合わせて行ってくださいね。

インターネット環境

うさぎ:サイバー攻撃は怖い

インターネットに接続しただけ、社内ネットワークにつなげただけで感染します。

有線LANよりも無線LANやWi-Fiは危険が潜んでいます。無線LANの電波は傍受されやすいので信号を暗号化しましょう。

ファイアウォールを設定して外部からアクセスされない仕組みを構成します。特に個人のパソコンで行うファイアウォールをパーソナルファイアウォールいいます。これはセキュリティソフトでも行う事ができますし、Windowsにも標準で搭載されていますので必ず設定しましょう。

  • 無線ルーターの設定
  • ファイアウォール
  • セキュリティソフトの導入

使用するパソコンや端末など

OSやソフトウエアの脆弱性を悪用して感染します。添付ファイルを開かなくても、メールを見ただけ、ホームページを見ただけでも感染します。

OSやソフトウエアが脆弱性を修正するプログラムを提供したら、必ずアップデート、インストールしましょう。脆弱性に対するセキュリティはそれしかありません。そのため自分が使っているパソコンについてどんな脆弱性があるか、どんなソフトを使っているか把握しておくことも大事です。

  • セキュリティソフトの導入と運用
  • OSやソフトの定期的なアップデート
  • のぞき見防止フィルターを貼る
  • 使用できる人を制限する

おすすめのセキュリティソフトをまとめた記事がありますので、よかったら読んでみてくださいね。

USBなどのメモリから感染する

USBなどのメモリ(外部記憶媒体)のファイルを開くと感染する場合があれば、セキュリティ対策が十分でないパソコンでは、メモリと接続しただけで感染する場合があります。

USBメモリなど外部記憶媒体を使用する際は、以下のことに気をつけましょう。

  • 自分が管理していないメモリは、自分のパソコンに接続しない
  • 自分が管理していないパソコンには自分のメモリを接続しない
  • 接続後の自動実行機能はOFFにする
  • メモリもセキュリティソフトでスキャンをして確認する

神社の職員が大勢いる場合は特に気をつけて、メモリの使用ルールを神社で決めるといいでね。

ホームページやホームページ上のプログラム

癒やし画像:うさぎ

入力フォーム使った攻撃があります。SQLインジェクション、クロスサイトスクリプティングといった攻撃がよく知られています。とはいえ、初心者にはプログラムを直接修正するのは難しいです。

できる対策として、入力フォームを最小限にしましょう。例えば、問い合わせフォームに、趣味はいりません。入力文字数を制限してもいいでしょう。また、コメント入力もセキュリティの面から設置しないほうが無難です。

また、Wordpressはレンタルサーバーにインストールして、気に入ったテンプレートを元にホームページを作る方法です。これは「みんなで作りましょう!」というオープンソースなので、手の内がバレているから攻撃に遭いやすいとされています。

  • 常時SSL化する
  • 不要なファイルはアップロードしない
  • ホームページが感染していないかチェックする
  • WordPressなどのCMSはアップデートする
  • WordPress用のセキュリティプラグインをインストールする
  • 入力フォームは選択肢など必要最小限にする
  • 悪意のあるプログラムや言葉を受信や返信しないようにする

ホームページのセキュリティ診断をする

レンタルサーバーのオプション契約にホームページのセキュリティ診断があります。たとえば、GOクラウド株式会社の「SiteLock」があります。Web改ざんや悪意のあるプログラムの駆除、Wordpressの脆弱性などをチェックします。ただ、現在はまだレンタルサーバー代より高いので予算に余裕がある方向けです。

無料でセキュリティ診断ができる方法を紹介します。

gred

gredでチェック

株式会社セキュアブレインが開発運営する有料プランの一部を無料でチェックできます。URLを入力するだけで、改ざんやウィルスに感染していないか確認することができます。

Google Search Console

グーグルのアカウントをお持ちならば、グーグルのサーチコンソールもオススメです。サーチコンソールはホームページがどのように検索されているか分析するときに使います。「セキュリティと手動による対策」に「セキュリティの問題」の項目があります。

人や組織

癒やし画像:うさぎ
  • パスワードの強化
  • パスワードや重要な情報の管理方法
  • パソコンや端末の使用管理
  • 不正ログインのチェック
  • 情報セキュリティの認識を共有する
  • 不用にクリックしない
  • 怪しいメールは開かない
  • 警告は一度疑う

怪しいメールは開かない

ウィルスはメールの添付ファイルに潜んでいる場合が多くあります。送信元が分からない添付ファイルには注意しましょう。また、少しでも「怪しい」と感じたら、開かないことです。どうしても開きたい場合は、セキュリティソフトでウィルスチェックしましょう。

サーバーのメールフィルターでウィルスチェックやスパムメールを振り分けることができます。しかし、標的型の攻撃は相手を絞って攻撃を仕掛けますのでフィルターをすり抜ける可能性があります。

それには、怪しいメールを見分ける能力が必要になります。ちょっとしたポイントでぐんと見分けられますよ。

  • 添付ファイルの拡張子を確認する
  • メールアドレスを確認する
  • 件名に無駄なスペースや記号が入っていないか確認する
  • 「怪しい」メールは同じような経験をした人がいないか検索をする

添付ファイルの拡張子が二重になっている場合、テキスト文書なのに.exeや知らない拡張子になっている場合は「怪しい」ので開かないようにしましょう。

最後に

たくさんのサイバー攻撃を紹介しました。サイバー攻撃から身を守るには、サーバー、インターネット、パソコン、ホームページ、自分自身の5方面からセキュリティ対策を講じなければなりません。

なんだか難しそうかもしれませんが、セキュリティ対策は一度設定したらOKなものから、プログラムの更新でいいもの、自分自身で気をつけることなどあります。ちょっとでも「怪しい」と思うことが危険回避につながります。

まずはできることろから始めましょう!

セキュリティ対策はサーバー選びから始まっているのね。まずはのぞき見防止シートを貼ろうかしら。パスワードの管理やUSBの扱いを見直して見ようかな。

タイトルとURLをコピーしました