または03-5847-1281
株式会社シフト システム事業部(平日 9:30~18:00)

お問い合わせフォーム
セキュリティホールをつかれやすい「CMS」について

セキュリティホールをつかれやすい「CMS」について

投稿日時:
2019/08/30 15:16

こんにちは、株式会社シフト データアナリスト担当『H』です!

NTTdocomoは、キャリア決済のd払いでの不正利用の被害に対して補償する制度を導入しました。

以前までは、フィッシング詐欺で消費者自身の情報が盗まれて購入されても補償されませんでしたが
今後は補償することになりました。

消費者だけではなく加盟店も損害にならないように努める模様とのことでした。

他の携帯大手メーカーに先駆けて、実施致しました。

今回はセキュリティホールをつかれやすい「CMS」についてご紹介させていただければと思います。

1.セキュリティホールをつかれやすいのは「CMS」

sitemanage,CMS,security

「CMS」が一般的になる前までは、HTMLをマークアップしたものをファイルの転送にてWeb上に作成するのが一般的でした。

昨今では、この様な知識が無くてもWebサイトの作成や更新を簡単なものにしたのが「CMS」です。

コーポレートサイトから個人のブログまで幅広く使用されております。
複雑なECサイトから更新が簡単なものにするものまでその種類やカスタマイズは多種多様とも言えます。

「CMS」を使用している絶対数が多いので、攻撃対象とされることが多いです。
事実、WEBサイトの重大の事故のうち6割以上を占めているのがセキュリティホールを攻撃するものと言われております。

なぜ「CMS」が攻撃の対象となりやすいのでしょうか。

「CMS」が攻撃対象になるのは、数多くの「CMS」が存在し、数多くの「セキュリティホール」存在しているからです。

また攻撃する方法が数種類しかないので比較的簡単な上、対策を行っていないWebサイトや「CMS」を攻撃することができます。

「WordPress」などのオープンソースは、ソース自体が公開されているのでどの様に攻撃すれば良いのかが簡単に把握することができます。

最近では、ブラウザなどの機能にも搭載されている「拡張機能」が「CMS」にも存在します。
この「拡張機能」にも、ソースが公開されているケースがあるので攻撃することも簡単です。

「拡張機能」は、あくまでも「拡張機能」なので使用されないケースも少なくありません。

使用されていないことは、攻撃を受けているか自体が分からないこともあります。
たまたま、「拡張機能」を使用してしまったことで個人情報などを大量に流出というケースも少なくはありません。

機能によっては、使用されないものがあるので開発者がきちんとテストを行っていない場合にセキュリティホールが完全に修正されていないケースがあります。

ハッカーは、このセキュリティホールを攻撃していきます。

開発者は開発・テストの漏れがハッカーにとっては攻撃できる箇所が多いと思われてしまいます。

では、「CMS」はどのようにして攻撃を受けるのでしょうか。

攻撃方法は大きく分けて2種類になります。

【1】管理用権限へのログイン

管理用権限は数多くの権限がある中での最上級の権限なので、権限の付与や使用できるプラグインの制御、パスワードの変更などが可能となっております。

IDとPASSを使用して管理画面にログインするケースがほとんどなので、納品後のID・PASSが初期値のままになっている場合があります。

「WordPress」などでは、初期値が[wp-admin][admin]になっているので公開側のURLに合わせてこれらの初期値を合わせれば管理画面のURLの特定が可能となっております。

プログラムで不特定なPASSなどを羅列送信し、パスワードを解読してログインするなども簡単です。

これらがハッカーが使っているログイン方法です。
不正ログインは、プログラムなどの知識があればそれほど難しいものではないので
大企業への不正アクセスや大量の個人情報流出がニュースなどで報道されているのかもしれません。

【2】「CMS」並びに拡張機能の「セキュリティホール」を攻撃する

ハッカーは日頃からプログラムを使用して自動で攻撃できるサイトを巡回しています。

これらの攻撃を防ぐために、「セキュリティホール」を修正して対策を行っていると思います。

意外に忘れがちなのが拡張機能などの付加的な機能です。

使用するユーザーが少ない機能などは、開発してからそのままになっているケースがあります。

ハッカーは、その部分にも目を付けて攻撃しようとします。

常日頃からアップデートし続けて、対策を行う必要があります。

「WordPress」などではアップデートをすると使用ができなくなるプラグインも存在します。

その場合に敢えて、アップデートを行わないという考えもありますがこれは非常に危険と言えます。

使用を止めるか別のプラグインの使用や制作会社などに相談するのが良いと言えます。


「CMS」は、セキュリティホールからの攻撃が多い性質を持っています。

Webサイトを簡単に作成や更新ができることから、企業から個人まで多数の人に使用されています。

数多くの人に使われている「CMS」だからこそ、セキュリティホールもたくさん存在することが
「CMS」が攻撃を受けやすいものとされております。

オープンソースはその名の通り、ソースが存在されているからこそハッカーはどこから攻撃しようかを把握するのが容易です。

攻撃方法としては2種類あり、一つは管理用権限への不正なログインをしていくもの。
もうひとつは、「CMS」や拡張機能のセキュリティホールを攻撃するものです。


セキュリティホールの安全性を高めるには、日頃からアップデートをし続けることが大切です。

次に、「CMS」のセキュリティホールを防ぐための対策についてご紹介させていただきます。


2.「CMS」のセキュリティホールを防ぐための対策について

sitemanage,CMS,security

報道などでは、大企業のセキュリティホールを攻撃をされて謝罪会見をよく見かけます。

近年では、大企業だけではなく中小・零細企業も攻撃されているケースも増えて来ております。

大企業ではセキュリティ対策がなされていることが多いことに対して、中小・零細企業ではこの対策がされていない場合も少なくありません。
また、中小・零細企業をからそのクライアントの情報を盗み見るパターンも急増している事実もあります。

中小・零細企業においても対策をしておかないと、信頼関係の失墜や責任問題に発展し最悪の場合には倒産してしまうという事例もありますので
きちんと対策をしておく必要があります。

セキュリティホールを攻撃するハッカーの攻撃手法があります。


代表的な攻撃手法は2つあり、その手法をご紹介させていただきます。

【1】クロスサイトスクリプティング

コーポレートサイトなどにあるお問い合わせフォームに悪意のあるスクリプト(プログラム)を流すことで、
Webサイトの内容を強制的に変更させる方法です。

埋め込んだスクリプトから、利用者の情報(IDやパスワード)を不正に取得することができます。

Webサイトなどの会員の登録が完了したあとに、情報を入力せずに次のページに進めるサービスなどが利用者の情報を
Webサイトの裏側のシステムで保存していることが「cookie」という仕組みになっています。

この[cookie]情報を不正に取得することで、Webサイトにログインが可能になります。

ログイン後、そのWebサイトに来た第三者の個人情報を盗むページを設置したりして個人情報を盗んでいきます。

この攻撃をされると、ショッピングサイトなどを運営されている会社が被害者ではなく個人情報を漏えいした犯罪行為にもつながる恐れがあります。

【2】SQLインジェクション

コーポレートサイトのお問い合わせやショッピングサイトでの購入では、個人情報を入力するケースがほとんどです。
「名前」「住所」「電話番号」などの個人情報は、データベースにて各項目を保存していきます。

このデータベースに不正なSQL文を送信して、データベースから情報を引き出す手法です。

個人情報を取得したりすることやWebサイトを変更したり各自のパソコンをウィルス感染させたりも可能です。


これらの攻撃は、非常に早いスピードで攻撃してきます。
修正している間に個人情報が盗み取られるというケースも出てきます。

昨今ではこれらの対策をするために「WAF(ワフ)」という不正な攻撃から守るものが出てきています。

「WAF(ワフ)」は、利用者の入力内容を確認して不正な攻撃かそうではないかをリアルタイムに確認し通信を遮断することが可能です。

「WAF」を導入することで、セキュリティホールが確認できて修正段階でも遮断することができます。
リアルタイムなので、セキュリティホールへの攻撃があったとしてもセキュリティは保つことが可能です。

「CMS」のセキュリティホールを防ぐために、「WAF」を利用することが有効的な対策と言えます。


「CMS」を利用する企業が多くなっていることから、大企業だけではなく中小・零細企業も対策が必要です。
この対策が疎かになると、信頼関係の悪化や責任問題に発展し最悪場合には倒産も避けられないケースもあります。

セキュリティホールを攻撃する手法として「クロスサイトスクリプティング」「SQLインジェクション」が挙げられます。
これらの攻撃は非常に早いため、攻撃されてから修正では遅いです。

リアルタイムに監視をする「WAF」を導入して万全なセキュリティ対策が必要とされています。

次に「セキュリティホール」の対策が施されている「SITEMANAGE」の特長をご紹介出来ればと思います。


3.「SITEMANAGE」機能紹介

sitemanage,CMS,security

【権限管理での機能制限】

権限ごとにロールを設定が可能なので、使用プラグインを制限することが可能です。
顧客情報などの変更の際は、上位権限でないと公開ができないということも作成可能です。

【情報漏えい対策】

管理画面の操作は、企業内の社内IP以外は管理画面の閲覧を不可にするなどの対応も可能です。
この対策をすれば、パソコンを持ち出したとしてもIPが変わってしまうのでアクセスはできません。

【自社回開発・分業化した体制】

オープンソースとは違いソースが公開されていないので安全ということに加えて、
万が一セキュリティホールが発見されても自社開発なので対応に時間がかかりません。

また、開発部隊がテストコードを流して終わりだけではなく、
テスト部隊がテストを行っているので致命的な障害などを未然に防ぐことが可能です。


「CMS」が企業から個人まで幅広く利用され、その分のセキュリティホールが攻撃を受けやすい要因です。

方法としては、「管理用権限へのログイン」「CMS」並びに拡張機能の「セキュリティホール」を攻撃になります。

オープンソースはソースが公開されているという要因の一つです。

昨今では、大企業だけではなく中小・零細企業も攻撃を受ける場合が出てきています。

「クロスサイトスクリプティング」「SQLインジェクション」からの攻撃に対処するために、
「WAF」などを利用してリアルタイムで遮断していく必要があります。

セキュリティホールを未然に防ぎたいのあれば商用CMS「SITEMANAGE」が良いでしょう。

「SITEMANAGE」は、「権限管理での機能制限」や「情報漏えい対策」「自社開発・分業化」されているので
セキュリティホールの安全性は高いです。

「セキュリティホールを未然に予防したい」
「情報漏えいはしたくない」というお客様がいらっしゃいましたら、ぜひご相談ください!

お問い合わせはコチラ


まとめ

1.セキュリティホールをつかれやすいのは「CMS」

2.「CMS」のセキュリティホールを防ぐための対策について

3.「SITEMANAGE」機能紹介

本日は、セキュリティホールをつかれやすいのは「CMS」についてご紹介させていただきました。

これからも「CMS」の情報をご紹介させていただきますのでよろしくお願いいたします。

人気記事
カテゴリー
編集部おすすめの記事

社内ポータルサイト成功の秘訣!社内に浸透しやすい構築方法

はじめに 企業内の情報を確認するのに欠かせない存在といえるのが、社内ポータルサイトです。 社内に散らばった情報を一元管理し、さらにその管理を容易にする社内ポータルサイトは、非常に便利なツールだといえるでしょう。 会社の規模が大きくなるほど、組織・拠点ごとに複数の社内ポータルが用意され、社員はどこに何があるのかがわからず、あまり利用されず情報共有がうまくい…

ポータルサイトとは?成功事例に学ぶ失敗しない構築方法!

はじめに 「ポータルサイトってよく耳にするけれど、普通のWebサイトとなにが違うのかよくわからない」という方も少なくないと思います。 一般的な企業情報を発信するコーポレートサイトとの一番の違いは「集客」が目的になっている点です。 ポータルサイトの構築・運用がうまくいけば、これまで繋がりのなかったユーザーと新たな接点を作ることができ、多くのユーザーが集まるWebサイトになります。 …

CMS構築ってそうだったのか!制作のプロがわかりやすく解説

はじめに 「 Web サイトを作りたい」「 Web サイトをリニューアルしたい」など検討していると、必ず耳にするのがこの「 CMS 」だと思います。 Web サイトの更新や管理が簡単に行えるなど、概要は知っているけれど、実際構築するにあたって気を付けておくべきことや必要なものは何なのか。 どういう流れで構築されるのか。などなどさまざまな疑問があると思います。 この記事では…

よくある質問検索

例えば「メリット CMS」などのように検索してみてください

ご不明な点、気になることやご相談がございましたら
どんな些細なことでもお気軽にご連絡ください。

または03-5847-128103-5847-1281
株式会社シフト システム事業部(平日 9:30~18:00)

株式会社 シフト
〒103-0012
東京都中央区日本橋堀留町2丁目9-8
Daiwa日本橋堀留町ビル2階
シンプル運用が可能なスコアリングMAツール
シンプル運用が可能なスコアリングMAツール
Webマーケティングに悩む企業の強い味方
Webマーケティングに悩む企業の強い味方
はじめませんか?マーケティングの最初の一歩
はじめませんか?マーケティングの最初の一歩