サイトのセキュリティ対策と日々の備えについて、ふんわりと考える回

サイトのセキュリティ対策と日々の備えについて、ふんわりと考える回

サイトが攻撃を受けた、ハッキングされた。

みなさまも一度は耳にしたことのある話題かと思います。

アクセスがしづらい状況になるとか、顧客情報を抜かれてしまった等々、最近もニュースになってましたね。

 

 

涼しくなって来たので、写真撮りに行きたい。

 

と、カメラのことを検索して調べていたら。

たまたまの偶然に出会ってしまいました。

 

 

 

Safari検索コンテスト・・?

Googleじゃなくて。

 

Samsung の KU6179 Ultra HD テレビ

え?テレビもらえる?

 

 

 

猛烈な紙吹雪に視界を遮られ、寄り目でスマホを見つめていると・・

 

 

読み終わる前に

 

 

どーーん!

 

「ありがとう」を込めて、アラート出現。

 


こんな現象が起きてたら

突然の「おめでとう」。

そして読んでる途中で遮るように「ありがとう」。

 

え?カメラは?

カメラの記事どこ行った?

 

 

 

たとえば

・トップページが見れなくなる
・違うサイトにリダイレクトされてしまう
・サイトのコンテンツが一部なくなってる
・検索結果のところに「このサイトはコンピューターに損害を与える可能性があります」「第三者によって改ざんされている可能性があります」などの表示が出てる
・同じく検索結果、metaデータが見覚えのないものに書き換えられている

このような状態になってしまった場合。

サイトがハッキングされてる可能性が高いので対処すべし、です。

 

それはなぜか。

このまま放置しておくと、ユーザーも被害にあってしまったり、サイトが踏み台にされて二次被害が出る、といった可能性もあって、できれば早急になんとかしたほうがいい事案ですが、ご自身で解決できそうにない場合はわかる人に相談しましょう。

 

とてもざっくりではございますが、今回は、こういうときどうするのか、なんとなくの流れをお話ししていきますね。

ではその前に。

 


ハッカーさんなにがしたいの?

ウイルスに感染させる、マルウェアを配布する、架空のサイトへ飛ばしクレジット情報など機密情報を盗む、などが目的だったりして、悪意があるケースがほとんどだと思われ。

 

どーん。(2回目)

 

はじめまして。わたくし、親愛な Safari ユーザー様のラッキービジターでございます。

 

ここに飛ぶまでに複数のサイトを経由してました。めっちゃリダイレクトさせて。足がつかないようにしてる?

 

嘘のECサイトが出てきたりと、いろんな手法があるみたいですが、万が一出会ってしまったらなにもせずにそっとブラウザを閉じてくださいね。

 

では、もしも自分のサイトがやられてしまったら。

 

やられたらやり返す!

 

ではなくて。以下、このような流れで展開しますので

まずは被害状況の確認を

気を取り直して、復旧作業

大事なのは日々の備え

対策としてできること

必要なところだけ読んでくださいねー!長いので。

 


まずは被害状況の確認を

サイト運営されている側の人は、自分のサイトを見るときに検索を使うことって少ないのかな。自分もURL叩くことがほとんどなので、そうなると・・なかなか、被害を受けていたとしても気がつきにくいところかもしれません。

 

・ディレクトリの調査
・サイトの表示動作確認
・検索してみて、検索結果を確認する
・SearchConsoleでセキュリティのチェック

実際に検索してみたり、サイトがきちんと表示されているか各ページをチェックしたり、サーバの中を見て、なにをされたか被害状況の確認をする必要があります。って、なんだか警察みたいですね。

検索するときは「site:https://ドメイン」ってやると検索結果が見れますので見てみてください。

 

ハッキングされたサイトを救出するという(!)お仕事のお手伝いをしたことがあって、そのときの実際の被害の状況。一部になりますが、

・head のあたりにスクリプトが埋め込まれていた
・あるはずのないディレクトリが置かれる
・そしてあるはずのないファイルが置かれる、いろんなところに
・置かれたファイルの php は暗号化され人間が解読できないよう小細工

 

悪意しか感じられないですが、なるほど手が込んでました。

 

 


気を取り直して、復旧作業。

・不正なディレクトリ、ファイル、コードの削除
・壊されたものの復元
・復元したらSearchConsoleで再審査リクエスト

 

ところが復旧がたいへんで。

 

以下、作業者の声

気がつきにくいようなところに仕込まれていたりするし、消されたファイルもなんだったのかなんてわからなかったりするので。涙。

「あるはずのないディレクトリ」も気がつきにくく、自分が作ったサイトですら作ったらもう忘れちゃったりするのですが、初めて見たサイトとかわかるわけないじゃないですか。名探偵コナンくん。助けてください。

プログラムで「ファイル削除」「ファイル生成」とかされてるので、ぽこぽこと変なのが生まれてしまうという負のスパイラルもあって、目を皿にして探しても見つけられないファイルがあったら・・そういうときはもう全部捨てるしかなくて。

 

以上、現場からでした。

 

 

日頃からバックアップをとっておくことがすごく大事だなと思ったので、声を大にして言いますね。

みんな!バックアップ取ろう!

 


大事なのは日々の備え

当たり前ですが、バックアップを取っていれば復元できます。

バージョン管理ツールの git を入れると◎。復旧する際の手間もそうですが、ファイル差分が確認できるので。

実際の画面 ↓

 

git status と打ったときの画面です。

このように、修正した・新しく置いた・削除したファイルやディレクトリが表示されます。

消されたファイルや増殖したファイルもここに出てくるはずだよ・・!

 

git の導入・運用はなかなか障壁が高いという場合は、テスト環境/本番環境と2つの環境を作って、更新の際に都度ファイルを同期しておくとか、環境は1つでも、必ずローカルにバックアップを持っておくなど。手動になっちゃいますが、万が一のときにまるっと復元できれば。

 

 

あ。もうひとつあった。

不要なファイルやディレクトリは、サーバに置きっぱなしにしないようにしましょう。

整理整頓、スッキリしておくべし。

 


対策としてできること

ハッカーさんたちも古い手法から新しい手法までいろんなことしてきますし、攻撃の方法によっても対策が異なります。

例えばお問合せ・注文・会員登録など、フォームを使ってるところでは

入力の画面→確認画面→(返信メールが飛ぶ・DBにインサートされるなどの処理実行、成功したら)→サンクスページ

という一連の流れで、ステップを踏まないと次に進めないはずなんですが・・直接途中のページからDBに入り込もうとしてきたり。

inputタグのところにスクリプトを入れてくるとか。

侵入経路になりうるフォームの対策は必須。企業のサイトは信用問題に関わるのでもう絶対。エンジニアさんに相談です。

WAF(Web Application Firewall)も効果的で、不正なアクセスがあったときは教えてくれたり、思いの外防いでくれてたりしますが、cgi や php が動作しない場合もあるので、導入の際は要確認。

大事な部分なので、専門知識を持った信頼できるエンジニアさんに頼るのが◎。

 

大体がサイトの脆弱性をつかれ、そこから侵入してくる。

ということで、

・システム、CMSのバージョンアップ
・言語のバージョンアップ(php:上げると動かなくなるケースもあるので注意が必要)
・プラグインのバージョンアップ(WPの場合)
・管理画面やFTPなど、パスワード変更

常に更新し続けているシステムやプラグイン、言語は、バージョンアップを。なるべく最新であるよう心がけましょう。標的にされにくいことも大事。

 


 

壊されたり消されちゃうなんて、とっても悲しいし、そこからまた被害が広がっちゃうのも酷い話ですよね。

 

決して対岸の火事ではなく、明日は我が身。

もちろんやられないことが一番ですが、やられるときはやられるのかなーとも思うし、被害は最小限にしたい。そして、そうなっちゃったときには復元できるようにしておくこと。やはり何事も「備えは大事」と痛感しております。みなさまも是非一度見直してみてくださいね。

 

 

 

share on

まだ見ぬソール・ライター THE UNSEEN SAUL LEITER

THE UNSEEN SAUL LEITERまだ見ぬソール・ライター

世界のキッチンから 商品開発と写真の関係

世界のキッチンから商品開発と写真の関係

ミナ ペルホネン / 皆川明 つづく

ミナ ペルホネン / 皆川明つづく

イラスト図解式 この一冊で全部わかる Web技術の基本

Web技術の基本イラスト図解式 この一冊で全部わかる

Webフロントエンド ハイパフォーマンス チューニング

Webフロントエンド ハイパフォーマンス チューニング

なるほどデザイン〈目で見て楽しむ新しいデザインの本。〉

なるほどデザイン目で見て楽しむ新しいデザインの本

広報・PR・販促担当者のための伝わるコンテンツ制作ガイド

広報・PR・販促担当者のための伝わるコンテンツ制作ガイド

海外Webマーケティングの教科書

海外Webマーケティング
の教科書