乗っ取りに注意！ホームページのセキュリティで気をつける事

こんにちは。
ホームページに不正アクセスされて顧客データ●万件が盗まれた。
なんて、報道されることがよくあります。

インターネットは便利は反面、セキュリティに気をつけないと危険な面も持ちあわせているもの。。。なんてことは皆さんすでに承知していることだと思います。
でも、実際にどんなふうに危険なのか？は意外と知られていなかったり、勘違いされていたりすることがあります。

地元中小企業の社長さんなどに
「あなたのホームページは大丈夫ですか？」と聞くと「うちのホームページは小規模で盗まれるような情報なんて無いから大丈夫だよ」なんて答えが返ってくることがあります。

たしかに、ホームページには会社案内と日々のブログくらいしか載っていなければ、不正なアクセスをされたとしてもそこから顧客情報など致命的なデータ流出が発生することはないですよね。

でも、実際に中小企業さんでのホームページ被害で多いのが、ホームページから何かを盗られるんじゃなくて、ホームページを勝手に作り変えられてしまう事なんです。

あなたのホームページがウイルスをばらまくサイトに改ざんされるかもしれない

例えば、あなたのホームページが勝手に書き変えられて、アクセスした人のパソコンにウイルスを埋め込むサイトになっていたりしたらどうでしょうか。また、あなたのホームページに勝手にリンクを貼られていて、ウイルスや詐欺サイトなどの危険なサイトに誘導されるようになっていたり。なんて想像してみてください。

訪問者の視点で考えてみればその恐ろしさが容易に想像できると思います。普通に怪しいサイトだったらクリックしないリンクでも、いつも見ているサイト、いつもお世話になっている会社のサイトだったら、疑いなくクリックしてしまうかもしれません。
そうなると、あなたの会社を信用してくれている訪問者さんに大変な迷惑をかけてしまうことになるのです。

これはほんとにシャレにならないです。

小さい会社だから狙われないはウソ

あと「うちの会社みたいな小さい会社のホームページなんて狙ってもどうしようもないから、ハッカーも狙わないよ」という声もよく聞きます。
でも実際にホームページの改ざんなどを行っているのは、人間がひとつひとつホームページを吟味して不正アクセスしているわけではありません。
ホームページ改ざんプログラムみたいので、世界中のホームページが一斉に不正アクセスされているんです。
その中で、脇の甘いホームページだけが、そのプログラムにやられて改ざんされたりしてしまうというわけです。

だから、「うちは小さい会社だから」「こんな田舎の会社を・・・」なんてのは通用しません。

逆に、悪いプログラムを作るやつは、そういう小さい規模の会社の方が油断していることを知っていますから、小さい規模から順番に狙っていくプログラムをつくるかもしれません。

狙われないようにする方法

では、自社のホームページが狙われないようにするためには何をすればよいのでしょうか。
（正確には、狙われても防御できるようにするためには・・・です）

正直、こまかな危険までいろいろ上げていくときりがないのですが、まず一番に気をつけてほしいのが「パスワード」です。

パスワードの管理方法

まずとくに危ないのが、俗にCMSなどと呼ばれるタイプのホームページです。
Wordpress（ワードプレス）やMovableType（ムーバブルタイプ）などと言うシステムもこの仲間です。
といっても難しい用語ですからわからないかもしれませんので

ホームページの更新などをするためのIDやパスワードなどが存在するものは大体それだと思ってください。
（厳密に言うと違うんですが、この記事のテーマであるセキュリティの観点からはそう思っていただいて問題ありません）

昨今のホームページでは急激に増えてきているこのタイプのホームページ。
ブログの更新などが、面倒な知識や技術がなくてもできるという利点があり、ほとんどのホームページがこのタイプになってきています。
私もお客様にホームページ制作を提案するときはほとんどこのタイプのホームページをお勧めしています。

でも、

• パスワードを入力するのが面倒
• パスワードを覚えていられない
• いつも使っているパスワードが覚えやすい

などの理由から、簡単なパスワードで済ませてしまっている方がたくさんいると思います。

これが大変危険です。

私も仕事柄、改ざんの被害にあったホームページの相談を請けることがしばしばあります。

「うちの会社のホームページにアクセスするとウイルスソフトが危ないとかいいだすんだけど」とか「Googleでうちの会社を検索すると、このサイトは改ざんされた可能性があります」ってメッセージがでるんだけど。。なんて感じで。

そうした、改ざんの被害のあったホームページについて、修正したあとで、しっかりと話しを聞いてみると、大体が簡単なパスワードを設定していて、それが原因で不正にアクセスされてしまっているのです。

考えてみてください。

ホームページの管理画面はインターネット上にあるわけで、そこにIDとパスワードをいれてアクセスするのであれば、あなたでなくても、だれでもがIDとパスワードを入力することができるんです。

もちろん、ちゃんとパスワードが合っていなければアクセスできないわけですが、さっき書いたように、世界中の悪いプログラムが自動的に不正なパスワードを入れようとしてくるわけで、その中の何かが偶然当たればアクセスされてしまうのです。

そう考えると、例えば誕生日を数字４桁くらいの簡単なパスワードなら、０から９９９９で順番に入力されたらアクセスされてしまうわけですし、また「カタコム」という会社ので、katacom.jp というアドレスのホームページで、そこにアクセスするパスワードも「katacom」だったとしたら、アドレスをしらべて同じ文字列をパスワードに使用するみたいに簡単に連想出来るパスワードでも、突破されてしまう確立はあがるわけです。

さて、ここでお聞きしたいのですが、あなたは自社のホームページを毎日チェックしていますか？
「うちは毎日チェックしているよ」
という方もいらっしゃるかもしれませんが、自社のホームページをあまり見ていないなんて人も結構います。

そういうホームページが改ざん被害にあると悲惨です。

ウイルスを垂れ流したり、へんなリンクを貼られたりしたまま、何日もそのまま放置してしまい、本来はあなたの会社のお客様となるかもしれないホームページの訪問者の人たちに逆に被害をあたえてしまっているかもしれないのです。

そうならないために。。。

まずはパスワード。しっかりと考えましょう。

パスワードの決め方　オススメ記事

とはいえ、本音を言えば、なるべく覚えやすいほうがいいですよね。

覚えやすくて、なおかつ単純ではないパスワードの作り方を紹介してくれる記事があるので紹介しておきます。

覚えやすく、使いやすく、強固なパスワードの作り方　-コスギス-
http://kosgis.com/news/make-best-password/

覚えられるけれど解読不能なパスワードの作り方4選 -livehacker-
http://www.lifehacker.jp/2014/07/140715password_methods.html

【セキュリティ】覚えやすいパスワードを生成するコツ・方法　関連のまとめサイト（NAVERまとめ）
http://matome.naver.jp/odai/2138134225506946601

さいごに

ホームページを作りました。じゃあパスワードをどうしようか。
というときに、覚えやすいから電話番号つなげたやつで。。。なんて話になりますが、そうときに、それがどれだけ危険かをちゃんと説明できたり、また、そういうパスワードでしか管理できないくらいの「普段、手をかけない」ホームページの活用なのであれば、パスワードを決めなくて良いつくりかたをするとか。そういう判断ができるホームページ作成業者でありたい。と思っています。

※今回はセキュリティのお話でした。技術的なことをなるべく省いて大雑把にわかりやすく説明しています。なので、技術的観点からはニュアンス違うんだけどとか、もっと細かいことを言えば・・・的な意見もあると思いますが、それはまた今度にさせてもらいます。。。