「ホームページはもう作り終わったから、あとは更新するだけ」
「ホームページの管理は制作会社に任せているから大丈夫」
そう思っている方、「最後にWordPressのアップデートをしたのはいつか」覚えていますか?
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、名古屋短期大学など複数のサイトがCMSの脆弱性を突かれて改ざんされた事案から、中小企業のホームページ管理について考えていきます。
参考記事
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
学校法人桜花学園が運営する名古屋短期大学・桜花学園大学など複数のウェブサイトが、CMSの脆弱性を標的とした不正アクセスにより改ざんされました。
何が起きたか
2月25日から3月5日にかけて、複数サイトのトップページで「一部リンク先が関係ない海外サイトに変更されていた」ことが確認されました。
つまり、大学の公式ウェブサイトを訪れた人が、知らないうちに全く関係ない海外サイト(詐欺サイトや有害サイトの可能性あり)へ誘導されていた可能性があります。
対応と結果
- ウェブサーバを停止して調査
- 脆弱性への対処とコンテンツの復元を進行中
- 「個人情報が保存されたサーバではなかった」ため、個人情報の漏洩は確認されていない
原因
利用していたCMSの脆弱性を狙った不正アクセス。
CMSとは「コンテンツ管理システム」のことで、WordPressが代表例です。記事の投稿や更新を簡単にできる仕組みですが、ソフトウェアである以上、脆弱性(セキュリティ上の欠陥)が定期的に発見され、その都度アップデートで修正されます。
アップデートを怠ると、既知の脆弱性を持ったまま運用することになり、攻撃の的になります。
この記事から考えたいこと
「個人情報は漏れていない」という結果でしたが、この事案は中小企業にとって他人事ではありません。
「情報漏洩なし」でも失うものがある
ホームページが改ざんされると、こんな被害が出ます。
1. 訪問者が詐欺サイトに誘導される
今回のケースがまさにこれです。会社を信頼して公式サイトを訪れた人が、知らない間に詐欺や有害なサイトへ飛ばされていた。
「うちのサイトを見てウイルスに感染した」「詐欺サイトに誘導された」という事態になれば、情報漏洩がなくても会社への信頼は大きく傷つきます。
2. 気づくまでに時間がかかる
今回は2月25日から3月5日まで、約8日間にわたって改ざんされた状態が続いていました。
自社のホームページを毎日チェックしている会社は少ないです。「気づかないまま1ヶ月以上続いていた」ということも起こりえます。
3. 復旧に時間とコストがかかる
サーバを止め、原因を調査し、コンテンツを復元し、再発防止策を講じる。これには時間と費用がかかります。
制作会社に頼んだ場合は、その作業費用も発生します。
中小企業の「ホームページ管理あるある」
改めて、自社のホームページ管理の状況を確認してみてください。
パターン1:制作会社に全部任せている
「作ってもらってから、あとは任せてある」というケース。制作会社がセキュリティ管理も含めて契約しているなら問題ありませんが、「制作だけ」の契約で保守・運用が含まれていない場合、アップデートは誰もやっていない状態になっています。
パターン2:社内で誰かが管理しているが、その人しか触れない
先週の「属人化リスク」の話と同じです。「ホームページのことはあの人に聞いて」という状態では、その人が異動・退職した瞬間に管理が宙ぶらりんになります。
パターン3:WordPressを使っているが、プラグインを何年もアップデートしていない
WordPressはCMS本体だけでなく、テーマやプラグインも定期的なアップデートが必要です。
「プラグインのアップデートが溜まっているのは知っているが、壊れるのが怖くて手が出せない」という状態、心当たりはありませんか?
今すぐ確認できること
難しいことをする必要はありません。まず現状把握から始めましょう。
確認1:ホームページはWordPressで作られているか
WordPressで作られている場合、管理画面(https://サイトのURL/wp-admin/)にログインすると、アップデートが必要なプラグインやテーマの数が確認できます。
「〇件の更新があります」という表示が出ていたら、長期間アップデートされていない状態です。
確認2:ホームページの保守契約はどうなっているか
制作会社との契約内容を確認しましょう。
- セキュリティアップデートは誰がやることになっているか
- 改ざんされたとき、連絡先はどこか
- 保守契約が「制作のみ」で終わっていないか
「保守は含まれていません」という場合は、別途保守契約を結ぶか、自社で管理する担当者を決める必要があります。
確認3:ホームページのログインパスワードは適切か
WordPressの管理者パスワードが「admin」「company123」のような単純なものになっていないか確認しましょう。
また、管理者アカウントのユーザー名が「admin」のままになっているケースも危険です(攻撃者がまず試すユーザー名だからです)。
今日からできること
- 自社のホームページがWordPressで作られているか確認し、管理画面にログインしてみる
- 制作会社との契約内容を確認し、セキュリティ保守が含まれているかチェックする
- ホームページ管理の担当者を明確にし、「誰がアップデートをする人か」を決める
まずは「うちのホームページ、誰が管理しているの?」という問いに答えられる状態を作ることが第一歩です。
まとめ
今回のポイントをまとめます。
- 名古屋短期大学など複数サイトがCMS脆弱性を突かれ、トップページのリンクが海外サイトに改ざんされた
- 個人情報の漏洩はなかったが、訪問者が詐欺サイトへ誘導されていた可能性がある
- CMSはアップデートを怠ると既知の脆弱性が攻撃の標的になる
- 中小企業でよくある問題:制作会社任せ・属人化・プラグイン放置
- 今すぐできる確認:管理画面へのログイン、保守契約の内容確認、パスワードの見直し
ホームページは「作ったら終わり」ではなく、継続的な管理が必要なインフラです。
退職者アカウントの棚卸し、使わないドメインの整理、属人化の解消。これらと同じように、ホームページの管理状況を定期的に確認する習慣を持つことが、地味ですが重要なセキュリティ対策になります。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「うちのホームページ、大丈夫?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
「確認してみます。今回の事案は、WordPressなどのCMSのアップデートを怠っていたことが原因で、サイトのリンクが詐欺サイトに差し替えられた、というものです。
うちのホームページがWordPressで作られているかどうか、そして最後にアップデートされたのがいつかを確認します。
制作会社との契約も確認したいのですが、セキュリティ保守が含まれているかどうか分かりますか?含まれていない場合は、別途保守契約を結ぶか、社内で定期的にアップデートをする担当者を決める必要があります。
今週中に状況を確認して報告します。」
「大丈夫です」ではなく「確認します」と答えることがポイントです。ホームページの管理状況を把握できていないなら、正直にそれを伝えて確認するアクションを取ることが、信頼につながります。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
