オープンソースCMS使用なら要注意!Webサイト改ざんの恐怖
2021.08.30(月)
- 運用・セキュリティ
広く使われているオープンソースCMS
HTMLなどのWebに関する専門的な知識がなくても、サイトの制作・更新を可能にするCMS(Content Management System / コンテンツマネジメントシステム)。CMSの導入により初心者でも自分たちで簡単にサイトを更新できるようになるので、ターゲットに向けたタイムリーな情報発信ができたり、SEO(検索エンジン最適化)対策を効率的に行うことができるようになります。
ホームページ活用に積極的に取り組みたい企業には必須のシステムです。
そんなCMSは、大きく分けるとオープンソースCMSと商用パッケージCMSに分類されます。
オープンソースCMSはプログラムのソースコードが一般に公開されており、商用・非商用問わず、誰でも利用や修正(改変)、さらには配布することができます。無償で利用することができ、豊富なプラグインを活用してさまざまな機能を追加できるため、世界中で多く使われています。
ただし、たいていのオープンソースCMSはミッションクリティカルな商用環境での利用を想定しておらず、プログラム自体の不具合や脆弱性対応については、利用する側の自己責任となります。
<代表的なオープンソースCMS>
■WordPress(ワードプレス)
■Drupal(ドルーパル)
■Joomla(ジュームラ)
なかでも、WordPressは、日本国内で利用されているCMSのシェアのうち83.5%を占め(W3Techs.com調べ)、圧倒的シェアを持っていることが分かります。
なぜオープンソースCMSは攻撃を受けやすいのか
オープンソースCMSは、セキュリティに不安があるとされているのはなぜなのでしょうか?その理由を見ていきましょう。
■ソースコードが公開されているので、悪意のあるユーザーが脆弱性を発見しやすい
→システムの基礎となる設計図(=ソースコード)が誰でも入手できるので、中身を分析して弱点を発見してしまう
■豊富なプラグイン(拡張機能)が存在するので、サイバー攻撃の入口が多くできてしまう
→プラグインはCMS本体とは別に脆弱性を抱えているので、サイバー攻撃の突破口として利用されやすい
■ユーザーが多いことで攻撃手段が開発されやすくなる
→利用しているサイトが多いほど狙うターゲットが増え、新たな脆弱性や攻撃手法の開発がされやすい
オープンソースCMSが狙われてしまうポイントは脆弱性です。セキュリティホールとも呼ばれ、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを指します。このような脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。オープンソースCMSの代表格であるWordPressも同様です。
しかし、更新プログラムの適用だけでは残念ながら安心できません。
脆弱性が発覚してから更新プログラムが提供されるまでのタイムラグを狙った攻撃(Zero Day攻撃)の危険性があります。
また、オープンソースCMS本体のアップデートだけでは、プラグインの脆弱性は解消されません。複数導入されたプラグインに対して、一つひとつ安全性を確認する作業は膨大で困難を極めるでしょう。
また、CMS本体をアップデートした際にサイトの表示が崩れるなどの不具合が起こる可能性も。そういった面のケアをしながらCMSのアップデートをしていくのは、Webの知識と時間の余裕がないと難しく、「最新バージョンのCMSをあえて使わない」というケースも散見されます。
では、この脆弱性を狙われるとどんな被害が考えられるのでしょうか?
一番の脅威はWebサイトの改ざんです。
Webサイトの改ざんの脅威とは
Webサイト改ざんとは、Webページのコンテンツを書き換えたり、不正プログラムを組み込んだりする攻撃のことです。
ホームページを持つ企業であれば、規模や知名度に関係なく、いつ、Webサイト改ざんの標的になっても不思議はありません。
<Webサイト改ざんの具体例>
①ホームページのデザインや内容を変えられてしまう
サイト上の画像や文字を変えられてしまう、意図しない広告が表示される、など。
目で見て分かる被害なので発覚しやすく、サイトを閲覧した方に不快な思いをさせてしまい、企業ブランドの低下を招きます。
②スパム送信の踏み台になる
自社では設定していないにもかかわらず、自社のアカウントから関係者に大量の迷惑メールが発信されてしまう、など。
スパムメールを受け取った方から連絡が来て初めて発覚するケースが多く、企業の信頼度が下がります。
③ウイルスを埋め込む、詐欺サイトへ強制的にリダイレクトさせる
埋め込まれたウイルスやマルウェアにより閲覧した方がウイルスに感染、詐欺サイトに飛ばされる、など。
目に見えない改ざんで危険性が高く、ユーザに実害が出てしまった場合は賠償責任になる可能性も。
④お問い合わせなどの入力フォームの改ざん
ユーザーが入力した個人情報やクレジットカード番号が勝手に外部へ送信されるなど、深刻な情報漏えいにつながる恐れも。
個人情報の流失は、企業の社会的信頼度を著しく低下させます。
これだけの被害をもたらすWebサイト改ざんには、しっかりと対策を講じていく必要があることが分かったかと思います。
Webサイトの改ざんへの対策
このように、オープンソースCMSは導入の手軽さと利便性の一方で、常にセキュリティリスクがあります。オープンソースCMSの脆弱性から自社のユーザーやお取引先、関係者まで巻き込んで被害を生む可能性があるWebサイト改ざんを発生させないようにするためにはどうしたらいいのでしょうか?
①商用パッケージCMSの利用を検討する
更新プログラムやセキュリティパッチを確実に用意してくれる上、公式サポートが受けられるので、万が一のトラブル発生時でも安心です。
オープンソースCMSのシェアが高い今は、相対的にサイバー攻撃のターゲットにされにくくなります。
②脆弱性対策をより万全にする
基本的なセキュリティ対策の他に、改ざん検知システムの導入、WAF(Webアプリケーションファイアウォール)を導入する
ただし、こういった対策はパソコンやWeb関係に長けた人材が少ない企業では、なかなか検討もままならないことでしょう。
そういう時に助けになるのが、ホームページ制作会社などへの委託です。
ホームページ制作会社は、制作のみならず、セキュリティ対策を代行してくれるところもあります。また、Web制作会社のWebサイトをチェックして、必要なセキュリティ対策の提案や手配、CMSの選び方や導入もサポートできるか、確認してみましょう。
ホームページ制作会社を選ぶ際は、Webサイトを取り巻く環境整備も含めて任せられる会社を選ぶ方が安心だと言えるでしょう。
