ハッキングに強いサイトを作るヒント:サイバーセキュリティ月間によせて

2018年3月5日月曜日

2 月 1 日 ~ 3 月 18 日は「 サイバーセキュリティ月間 」です。
サイバーセキュリティ月間に合わせて、本日は、日本においても引き続き被害が多く見られる不正なハッキングから、サイトを守るための Tips を改めてご紹介したいと思います。

そもそも不正なハッキングはなぜ起きるのでしょうか。不正に金銭を取得することだったり、政治的または社会的なメッセージを伝えることだったりと、不正な ハッキングの目的 はさまざまです。悪質なハッカーはサイトの脆弱性を狙ってサイトに不正にアクセスし、あなたの管理権限を乗っ取ります。そして、サイトを改ざんし、別のサイトへの誘導などの踏み台に利用します。それによってあなたのサイトにアクセスしていると思っているユーザーは、知らない間にフィッシング サイトや偽のショッピングサイトに誘導され、その結果として個人情報や金銭を奪われるといった被害にあうかもしれません。みなさんのサイトがこうした犯罪に加担してしまわないよう、ぜひサイトのセキュリティを高め、ハッキングを防ぎましょう。

Google ではさまざまな形でウェブスパムなどへの対策を行っていますが、 Advanced Hosting Meetup のようにインターネット サービスを提供する他の会社のみなさんと企業の枠を越えた対策も行っています。そこで、今回 Advanced Hosting Meetup のメンバーや、ホスティング会社としてさくらインターネット株式会社様と GMOペパボ株式会社様、そして WordPress コミュニティのみなさんにもサイトのハッキングを防ぐためのアイディアをお伺いしました。その中でみなさんからのアイディアに共通してみられたハッキングを防ぐためのコツを 3 つご紹介します。
  • パスワードを複雑なものにする


  • パスワードをデフォルトのままにしていたり、同じパスワードを複数のサービスで使いまわしていたり、一般的な推測されやすい単語にしていたりと、パスワードを適切に設定・管理されていない方が多く見られます。パスワードは覚えられないくらい複雑なものにして、パスワードマネージャなどを使うことをお勧めします。また、パスワードだけでなく、2 段階認証などが利用できる場合は 2 段階認証を必ず使うようにしましょう。
  • CMS やシステムを最新に保つ

  • CMS やプラグインは必ず最新に保つよう心がけましょう。CMS 側から提供されているアップデートは、多くの場合自動的に適用されるように設定できます。残念なことにデフォルトで自動アップデートになっているものを手動で停止してハッキングの被害にあうケースが数多く見られます。自動アップデートはオフにせず、必ず最新の CMS を使うようにしてください。
    ※ WordPress については、WordPress コミュニティで「 あなたのWordPressを安全に保つ方法 」という記事も公開されましたのであわせてご覧ください。
  • ファイアウォールをきちんと管理する


  • 多くのホスティング サービスではファイアウォール サービスを提供しています。しかし、デフォルトでオンになっているファイアウォールを停止したり、いくつかのポートを公開し、結果としてセキュリティを落としているサービスが数多く見られます。ファイアウォールはきちんと管理・設定しましょう。例えば、管理者権限があるサーバサービスではファイアウォールを適切に設定しないと脆弱なポートが開放されたままになってしまいます。きちんと設定して使用するポートだけを開放しましょう。また、多くのレンタルサーバ サービスではウェブ アプリケーション ファイアウォール(WAF)機能が提供されておりますので、これを ON にすることにより脆弱性を利用した攻撃などを防ぐことができるようになります。
最後に、昨年末にグローバルで行った #NoHacked キャンペーンの記事を改めてご紹介します。

ソーシャル
ブログ

インターネットの安全性を高めるためには、ウェブマスター(サイト運営者)のみなさんのご協力は不可欠です。
ぜひこの機会にみなさんのサイトが安全に管理されているか、確認してみてください。

インターネットがより安全に安心して使える場所となるように、Google は今後もさまざまな活動を実施していきます。

Takeaki Kanaya and Kiyotaka Tanaka, Online Safety Samurai, Google Japan