事件の内容
株式会社湘南国際村協会、鹿児島王将株式会社等のWEBサイトが相次いで「2023年8月31日付で破産手続きを開始いたしました。」と事実無根のWEBサイト改ざんをされるという被害を受けました。現在両サイトとも復旧が終わり、今のところは他に被害は出ていないようです。(参考サイト:ScanNetSecurity)
この他にも株式会社新宿スタジオ等も同様の被害にあい、2023年9月25日時点ではまだ復旧していないようです。
WEBサイト改ざんの歴史
そもそもWEBサイト改ざん事例で著名なのは、まだ黎明期に近かった2000年頃に科学技術庁(現在は文部科学省など他に引き継がれ消滅)のWEBサイトなどが不正にアクセスされ、データを削除されるなどの被害があったことが著名です。
その後も2009年頃には、Gumblar(ガンブラー)と呼ばれるウィルスを使っての改ざんが国内でも大手企業のWEBサイトを中心に被害にあいました。
(私も当時、働いていた会社でディレクターとして担当していた企業様が被害にあっています。)
今、WEBサイト改ざんと言えば、特にCMSの脆弱性が叫ばれますが、Gumblarの時もまだCMSを導入していない企業は多数。
実際私自身経験した某企業も、皆様誰もがご存知のナショナルクライアントですがここもCMSはまだ入っておらず、実際の更新は私自身がお客様先に常駐し、私自身が広報の方から依頼を受けて手作業で行っていました。
ですので、「WEBサイト改ざんイコールCMSの脆弱性」とは限らないということを補足しておきたいと思います。
対策方法
ではどのように企業のWEBサイトご担当者様は対策を取ればよいのか?
今回、攻撃に至る経緯は全てが公開されているわけではありませんが、被害にあった企業のWEBサイトを確認させていただくと、「WordPress」を使って制作されているケースも多いようです。
WordPressはよく「改ざんの温床」のように言われるCMSですが、ただ一方で被害にあう確率は限りなく低いことも事実。
ですがWordPressは特有の弱点を持っていることも事実。主に次の点は要チェックです。
- 自社WEBサイトのURLの後に「/wp-login.php/」「/login/」「/admin/」でログイン画面が表示されませんか?
- ログインURLは変更されているが、知ってる人ならアクセス出来てしまいませんか?
- Passwordは複雑なものですか(誰にも推測不可能な文字列になっていますか)?
上記の件、もう少し詳しく知りたいという方向けに『WordPressは本当に危険?セキュリティリスクの真実とその回避策「基本のき」』というコラムを出していますので、ぜひこちら参考にしてみてください。
不安だからWordPressはやめて、有償になってよいので商用CMSに乗り換えよう!
と全ての企業が踏み切れるわけではないと思います。
ですので、皆様のWordPressのWEBサイトを安全に使っていただくための情報を発信中です。
無料ウェビナーも開催していますので、ご関心ある方はぜひご参加ください。
セキュリティリスク。正しく知って、正しく危険を感じ、正しく対処を行いましょう。
