2023.09.26

セキュリティ

「破産手続きを開始いたしました」と複数サイトが改ざんされた件

  • セキュリティ
  • WEBサイト

2023年8月末から9月頭にかけて、複数企業・団体のWEBサイトが何者かによって改ざんされました。

内容が同一犯なのか、ほぼ同じで「2023年〇月〇日付で破産手続きを開始いたしました」とトップページ等にメッセージが記載されるもの。

今回改めてWEBサイトのセキュリティ対策への啓蒙の意味を込めて、コラムを読んで頂いている方にも周知させていただきます。

目次

事件の内容

株式会社湘南国際村協会鹿児島王将株式会社等のWEBサイトが相次いで「2023年8月31日付で破産手続きを開始いたしました。」と事実無根のWEBサイト改ざんをされるという被害を受けました。現在両サイトとも復旧が終わり、今のところは他に被害は出ていないようです。(参考サイト:ScanNetSecurity

この他にも株式会社新宿スタジオ等も同様の被害にあい、2023年9月25日時点ではまだ復旧していないようです。

WEBサイト改ざんの歴史

そもそもWEBサイト改ざん事例で著名なのは、まだ黎明期に近かった2000年頃に科学技術庁(現在は文部科学省など他に引き継がれ消滅)のWEBサイトなどが不正にアクセスされ、データを削除されるなどの被害があったことが著名です。

その後も2009年頃には、Gumblar(ガンブラー)と呼ばれるウィルスを使っての改ざんが国内でも大手企業のWEBサイトを中心に被害にあいました。
(私も当時、働いていた会社でディレクターとして担当していた企業様が被害にあっています。)

今、WEBサイト改ざんと言えば、特にCMSの脆弱性が叫ばれますが、Gumblarの時もまだCMSを導入していない企業は多数。
実際私自身経験した某企業も、皆様誰もがご存知のナショナルクライアントですがここもCMSはまだ入っておらず、実際の更新は私自身がお客様先に常駐し、私自身が広報の方から依頼を受けて手作業で行っていました。

ですので、「WEBサイト改ざんイコールCMSの脆弱性」とは限らないということを補足しておきたいと思います。

対策方法

ではどのように企業のWEBサイトご担当者様は対策を取ればよいのか?

今回、攻撃に至る経緯は全てが公開されているわけではありませんが、被害にあった企業のWEBサイトを確認させていただくと、「WordPress」を使って制作されているケースも多いようです。

WordPressはよく「改ざんの温床」のように言われるCMSですが、ただ一方で被害にあう確率は限りなく低いことも事実。
ですがWordPressは特有の弱点を持っていることも事実。主に次の点は要チェックです。

  • 自社WEBサイトのURLの後に「/wp-login.php/」「/login/」「/admin/」でログイン画面が表示されませんか?
  • ログインURLは変更されているが、知ってる人ならアクセス出来てしまいませんか?
  • Passwordは複雑なものですか(誰にも推測不可能な文字列になっていますか)?

上記の件、もう少し詳しく知りたいという方向けに『WordPressは本当に危険?セキュリティリスクの真実とその回避策「基本のき」』というコラムを出していますので、ぜひこちら参考にしてみてください。

不安だからWordPressはやめて、有償になってよいので商用CMSに乗り換えよう!

と全ての企業が踏み切れるわけではないと思います。
ですので、皆様のWordPressのWEBサイトを安全に使っていただくための情報を発信中です。

無料ウェビナーも開催していますので、ご関心ある方はぜひご参加ください。
セキュリティリスク。正しく知って、正しく危険を感じ、正しく対処を行いましょう。

著者・編集者情報

ネクストソリューションズ (WEB編集部)

単なるWEB制作会社にとどまらず、企業のDXにつながる支援を行うネクストソリューションズWEBサイト編集部です。

DX推進のための役立ち資料

セミナーのご案内

CONTACT / OFFICE

CONTACT

TOKYO OFFICE

03-5422-3850

ACCESS

OSAKA OFFICE

06-7777-9633

ACCESS