はじめに
2017年、多くの企業のホームページや個人サイトなどでサイト改ざんが相次いで起きました。中でも同じCMSを狙ったサイト改ざん事件は世界規模で被害が広がりました。
事件は2017年1月頃から見られ始め、2月に入ってからの情報ではなんと、150万を超えるサイトで改ざん被害がありました。
なぜ、多くのサイトで改ざん被害が起きたのか?
被害に合ったサイトは「WordPress(WP)」を使ってつくられたサイトでした。
WPとは、無料でなおかつ専門的な知識が無くても手軽にホームページやブログサイトを作成できるCMSといわれるもので、現在では個人の趣味サイトから企業サイトまで、インターネット上の29%のサイトがこのWPを使っているとのことです。
このWPに重大な脆弱性(弱点)が見つかり、これを悪用した第三者が次々と多くのホームページを勝手に書き換える操作を行った結果、大規模なサイト改ざん事件に発展しました。
WPは世界中で使用されていたため、今回のサイト改ざん事件では世界中のサイトが被害を受けましたが日本でもそれは例外ではありませんでした。
現職の大臣のホームページ、病院、大学の研究施設、市の観光情報紹介のサイトなど、記事の一部が削除されたり、ページの一部が改ざんされたりする被害がありました。
改ざんの原因と対策
改ざんの原因は、WPの脆弱性にあります。通常サイトを更新する際には管理者としてユーザー名やパスワードを入力してログインし、書き換え作業を行いますが、今回の脆弱性ではログインせずに第三者が外部からサイトの書き換えができてしまうというものでした。
WPの配布元はすぐにこの脆弱性に対応した修正データを公開しましたが、今回被害を受けた多くのサイトではすぐにこの修正データを更新していなかったことから、このような大規模なサイト改ざん事件に繋がってしまったようです。
改ざん防止の対策ですが、脆弱性に対応することは不可能です。一番の対策は、アップデートにすぐに対応することです。WPの場合ですと、頻繁にアップデートが繰り返されていますので、その都度対応する必要があります。
無料で手軽に使用できるものにも「自らで管理する」というリスクがあることを忘れてはいけません。企業のホームページに「このページはハッキングされました」なんていうページが表示されてしまったら、信頼問題にも関わってきます。
いつ起きるかわからない事態に備え、常に情報収集をしていく体制つくり。そして、最新バージョンにしておくためにアップデートをこまめに行うこと。これらは最低限行うべき対策といえます。