「何もしていない」のにサイトが壊れてしまった! webサイトを放置する事のリスクについて解説
目次
「何もしていない」のに……
作ったブログがある日突然何者かに乗っ取られてしまい、フィッシング詐欺の拠点になっていた。データを全て削除されてしまったり、エラーが出て表示が出来ない状態になってしまったりなど、そのような突然のトラブルは防ぐ事が出来ないのでしょうか?
トラブルがあった時に何も心当たりが無い場合には、「何もしていないのに壊れた」と言いたくなるかもしれません。
自動車であれば、ガソリンを給油したり、定期的なオイル交換や、タイヤ交換等のメンテナンスが必要になります。自動車は法的に車検が義務付けられているため、専門的な知識が無くても必要なメンテナンスを受ける機会があります。
しかしwebサイトの場合には、基本的には自分のサイトは自分でメンテナンスをしなければなりません。
この記事では、「何もしない」事でどのようなリスクがあるのか、専門知識が無い場合にはメンテナンスをどうしたら良いのかについて解説いたします。
webサイトを放置するリスクの例
エクスプロイト攻撃の被害
発見された既知の脆弱性を使い、アップデートされていないwebサイトを攻撃する手法をエクスプロイト攻撃と言います。
セキュリティの状況は攻撃も防御も、絶えず日々変化しています。新しい攻撃手法が開発されたり、脆弱性が発見されたりする度に、セキュリティの対策も行われます。
WordPressなどの人気のあるシステムは、攻撃の対象になる事が頻繁にあります。WordPressはそれらの新しい攻撃手法や、脆弱性に対応するアップデートを定期的に行っています。
アップデートは単なる機能追加や不具合改修に留まらず、重要なセキュリティ対策も含んでいるのです。そのため、「今の機能に十分満足しているから」とか、「アップデートで使い勝手が変わってしまったら嫌だから」などの理由でアップデートをしていない場合、セキュリティが著しく弱い状態になってしまいます。
「自分のブログなんて、閲覧者は友人や知人のみでアクセス数は少ないし、検索結果も上位では無い。だから悪いハッカーに見つかる事も無く安心」そんな事は全くありません。
悪意のある攻撃者は、プログラムを使って自動的に標的を探し出します。1秒間に数百から数千のwebサイトにアクセスする事も出来るのです。
悪意のある攻撃者にとって、そのwebサイトが人気があるか、アクセス数が多いか少ないかはあまり重要ではありません。アクセス数が少ないwebサイトでも、他のwebサイトを攻撃する時の踏み台に使うには十分だからです。
踏み台になってしまった場合のリスク
アップデートされずに脆弱性が放置されたwebサイトを乗っ取り、別のサーバーを攻撃する拠点として踏み台にする事は残念ながら良くある事です。
踏み台になってしまうと知らない間にスパムメールの大量送信をしてしまったり、DDoS攻撃やサーバーへの不正アクセスを行う拠点となってしまったりする事があります。
そうなってしまった場合に発生するリスクは、単純なwebサイトの消失だけでは無く、ドメインがブラックリストに登録されてしまう事や、借りているレンタルサーバーのアカウント停止や、強制解約等も発生する事があります。
自分のwebサイトが踏み台になっている事に気が付く事に遅れると、ブラックリストからの解除や、サービス停止に対する不服申し立てが出来ず、折角お金を払って契約したドメインやサーバーが無駄になってしまいます。
オープンリダイレクトによる攻撃への加担
「何もしていない」のに攻撃に加担してしまう物には、オープンリダイレクト攻撃という物もあります。
この攻撃はwebサイトの転送機能を悪用した物で、本来であれば便利な転送機能が、貴方のwebサイトを経由して悪意あるwebサイトに転送するようになってしまいます。
貴方のドメインからウイルス等をダウンロードさせる悪意あるページに誘導しているように見えるため、この場合も貴方のドメインがブラックリストに追加され、各種セキュリティソフトで警告が表示されたり、アクセスが出来なくなってしまう場合があります。
WordPressでは、2020年6月10日にリリースされた WordPress 5.4.2 にてオープンリダイレクトの脆弱性を含む不具合が修正されました。
メールリフレクション攻撃の発生
メールリフレクション攻撃は、webサイトに設置されたお問い合わせフォームなどを悪用した攻撃です。
お問い合わせフォームから問い合わせをした時に、受付メールを自動送信する仕組みを悪用し、攻撃者は大量のスパムメールの送信を行います。
やはりドメインがブラックリストに追加される事や、メールの送信停止制限等を受けてしまう事があります。
メールリフレクション攻撃については、以下の記事も是非ご覧ください。
はじめてのブログに「お問い合わせフォーム」って必要? よく分からないままに設置するのは危険! 設置リスクについて解説
自分のドメインからスパムメールが発信され、知らない間に加害者になっている恐怖。お問い合わせ窓口を悪用したスパムメールの手口とは
どうしたら良いのか?
ここまでは、webサイトを放置する事にどういったリスクがあるのかについて紹介しました。
ここからはどうしたら良いのかという、対策方法についてご紹介いたします。
専門家に委託する
webサイトの管理を専門に行っている企業等の専門家に、管理を委託する方法です。最大のメリットは、非常に高度な保護を確実に受けられることにあります。
デメリットとしては、小規模なサイトであっても費用として数十万円程度が必要になる事が多く、コストの高さが問題となります。
しかしながら企業や個人事業主の場合、webサイトで問題が一度発生してしまうと、信用の失墜に繋がることが多くあります。また、関連企業まで迷惑をかけてしまう事や、場合によっては社外秘の情報まで盗まれてしまうリスクなども考えられます。
通販を行うECサイトの場合には、多額の金銭的被害や、個人情報の流出等も発生することが考えられるため、専門家に委託するという選択肢は、高額ではあるものの堅実な選択肢となります。
自分でメンテナンスをする
自分でメンテナンスを行う場合には、webサイトの更新をしていない場合でも、定期的な作業が必要になります。
WordPressに記事を投稿していない月でも、利用中のWordPressやプラグインなどに更新が無いかを調べ、更新がある場合にはアップデートを適用します。
少なくとも月に一度は管理画面にログインするなどして、アップデートの確認が無いかを確認することが望ましいです。
自動更新機能を有効にする
WordPressには管理者に代わって自動的にアップデートを確認して、更新がある場合には自動更新する機能があります。
WordPress以外のCMSやブログツールなどにも、便利な自動アップデート機能が用意されていることが良くあります。
mixhostの場合、WordPressを自動更新する方法の記事を参照して自動更新を有効にすれば、管理の手間を大幅に減らすことが出来ます。
まとめ
webサイトを放置することは、様々なリスクの原因となります。
定期的なアップデートを行い、WordPress等のプログラムやプラグインは常に最新の状態にする事が望ましいです。
自分で定期的な管理をすることが難しい場合には、専門家に委託するか、自動更新機能を有効にする事で、手間をかけずにwebサイトを最新の状態に保ち、セキュリティリスクを減らすことができます。
