CMSのセキュリティは大丈夫?脆弱性を狙ったサイバー攻撃事例6選と対策方法も解説
CMSのセキュリティは大丈夫?脆弱性を狙ったサイバー攻撃事例6選と対策方法も解説
自社に最適なCMSがわかる比較表、無料配布中!
CMS導入をご検討中の担当者に向けて、60以上のCMSから32のサービスを厳選し、それらを表で比較した人気の資料をご用意しました。ぜひ社内の比較検討にご活用ください。
CMSを利用するなら脆弱性対策は欠かせません。
脆弱性とはセキュリティ上の欠陥を意味し、脆弱性対策を怠ると個人情報漏えいやWebサイト改ざんなどの被害に遭う危険性も。
上場企業の個人情報漏えい・紛失事故は2021年に最多を記録していることから、今後もセキュリティ対策は重要性を増してくると考えられます。
参考:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)|株式会社東京商工リサーチ
そこで本記事ではCMSの脆弱性を狙ったサイバー攻撃事例を解説します。
実施するべきセキュリティ対策についても紹介しているので、CMSのセキュリティ対策を検討している方はぜひ最後までご覧ください。
CMSの脆弱性によるセキュリティリスク3つ
CMSの脆弱性によるセキュリティリスクは下記の3点が挙げられます。
個人情報の流出
ウイルスへの感染
サイト情報の改ざん
1. 個人情報の流出
とくにECサイトでは顧客の氏名や住所、連絡先に加えてクレジットカード情報がCMSに保存されており、これらの情報が漏えいすることで顧客が犯罪に巻き込まれてしまいます。仮に犯罪を防げたとしても、個人情報を漏えいさせてしまった事実から企業の信頼低下は免れないでしょう。
そのため個人情報を取得するサイト、とくに決済機能を搭載するサイトでは厳重なセキュリティが必要となります。
2. ウイルスへの感染
Webサイトがウイルスに感染するとユーザーが正しいページにアクセスできなくなるうえに、アクセスしたユーザーにウイルスが感染するといった二次被害が発生します。
結果としてWebサイトの公開を停止し、サービス提供を中断することになるでしょう。
サイト情報の改ざん
不正アクセスやウイルス感染によってサイト情報が改ざんされる危険性もあります。取引先の企業や顧客に誤情報が発信されるため、社会的信用が低下してしまうでしょう。
CMSの脆弱性によってサイト情報が改ざんされる事例は、実際に大企業でも発生しています。
CMSがサイバー攻撃に狙われやすい理由3つ
CMSがサイバー攻撃に狙われやすい理由は下記の3点です。
導入が簡単なため利用者(ターゲット)が多い
プラグインからの脆弱性を突かれやすい
セキュリティ対策を講じている企業が少ない
1. 導入が簡単なため利用者(ターゲット)が多い
CMSがサイバー攻撃に狙われやすい最大の理由は、導入が簡単なうえ利用者も多い(=ターゲットが多い)点にあります。単独のWebサイトを狙うよりも効率が良く、攻撃に成功すれば多くのユーザーにダメージを与えられるためです。
ユーザーが多いCMSほどサイバー攻撃に狙われやすいため、厳重なセキュリティ対策を講じる必要があります。
2. プラグインからの脆弱性を突かれやすい
CMSではプラグインなど外部の機能からの脆弱性を突かれやすいといわれています。
プラグインとはCMSに機能を追加するためのプログラムです。SEOやフォーム作成、画像圧縮など、運営に必要な機能をプラグインで追加することで、Webサイトの利便性を向上できます。
プラグインは外部機能のため、CMSの脆弱性だけをカバーしていても攻撃は避けられません。プラグインは増えれば増えるほど脆弱性のリスクが高まることから、追加は必要最低限に抑えることが対策として考えられます。
3. セキュリティ対策を講じている企業が少ない
CMSが悪意ある攻撃に狙われる理由として、セキュリティ対策を講じている企業が少ないことも関係しています。
Webサイト運営はタスクが多く、セキュリティ対策が後回しになりがち。日本損害保険協会が2021年に調査した「中小企業のリスク意識・対策実態」によると、3割以上の企業が対策を行っていないことがわかっています。
近年では中小企業も大企業への足がかりとして狙われるケースも増加しています。「サイバー攻撃は大企業が狙われるもの」と思わず、中小企業でもしっかりと対策を講じましょう。
参考:「中小企業のリスク意識・対策実態調査2021」を発表|日本損害保険協会
WordPress(オープンソース型CMS)の脆弱性はサイバー攻撃の標的となりやすい
CMSのなかでもサイバー攻撃の標的となりやすいのが、オープンソース型CMSのWordPressです。WordPressの脆弱性が突かれやすい理由としては下記3点が挙げられます。
利用者数が多い
Webの専門知識が不要
ソースコードが公開されている
WordPressは世界シェア1位を誇るCMS。全Webサイトの4割を構成しているといわれており、世界中にユーザーが存在します。つまりWordPressの脆弱性を突けば全世界の4割のサイトに攻撃できるため、攻撃者の格好のターゲットとなっているのです。
またWordPressはWebの専門知識不要で手軽に導入できることから、ITリテラシーが低い人でもWebサイトを制作できます。そのためセキュリティ対策が十分でないWebサイトも多く、脆弱性を突きやすい環境といえるでしょう。
さらにソースコードが無償で公開されていることも脆弱性を突きやすい要因となっています。
無料配布資料「WordPressの得意vs不得意」では詳細を解説しております。主要CMSにも弱みがあることを把握した上で導入を検討しましょう。
CMSの脆弱性を狙ったサイバー攻撃事例 6選
CMSの脆弱性を狙ったサイバー攻撃事例を6つ解説します。
ブルートフォースアタック
コンテンツインジェクション
SQLインジェクション
クロスサイトスクリプティング
ゼロデイ攻撃
ディレクトリトラバーサル
1. ブルートフォースアタック
ブルートフォースアタックは総当たり攻撃とも呼ばれ、パスワードの解読で用いられます。
「力任せ」「強引な」という意味の「ブルートフォース(Brute-force)」が語源となっており、何通りもの組み合わせを入力することで強引にパスワードを解読する方法です。
たとえばパスワードが4桁の数字の場合、0000から9999までの組み合わせをすべて試すのがブルートフォースアタックです。攻撃プログラムによって自動で試行されるため、数万通りもの組み合わせでも突破される危険性があります。
2. コンテンツインジェクション
コンテンツインジェクションはコンテンツの改ざんを意味する攻撃方法です。サーバー上にあるコンテンツを改ざんできる脆弱性で、遠隔操作でWebサイトを改ざんできます。
2017年にはWordPressから脆弱性が発表され、WordPressで作られたWebサイト150万件以上が改ざん被害を受けたといわれています。コンテンツインジェクションを回避するためには、CMSの最新版へのアップデートを怠らないことが重要です。
3. SQLインジェクション
SQLとは「Structured Query Language」の略で、データベースと通信するために使用されるプログラミング言語のこと。SQLインジェクションはWebアプリケーションに対し悪意のあるSQL文を注入し、情報漏えいを起こさせる攻撃方法です。
おもにECサイトなど決済機能が実装されているWebサイトが標的となりやすく、名前やメールアドレスをはじめ、クレジットカード番号、ユーザー名やパスワード(認証情報)が不正に使用される危険性があります。
4. クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)はSQLインジェクション同様にWebサイトに悪意のあるコードを注入する攻撃方法です。
SQLインジェクションとの違いは攻撃の対象者。SQLインジェクションはWebサイトそのものを狙う攻撃方法ですが、クロスサイトスクリプティングはWebサイトにアクセスするユーザーの個人情報を狙っています。
いずれも個人情報の取得を目的としており、ユーザーがサイトに送信するクレジットカード情報などが不正利用される危険性があります。
5. ゼロデイ攻撃
ゼロデイ攻撃とは、脆弱性が発見されてから修正パッチが適用されるまでのタイムラグを狙った攻撃のこと。修正パッチのリリースを1日目とし、それよりも前に攻撃を仕掛けるためゼロデイ攻撃と呼ばれています。
修正パッチが適用される前に攻撃されるため防御が難しく、サイバー攻撃のなかでもトップクラスの脅威といえるでしょう。対策としてはWAFの導入や定期的なバックアップの取得が挙げられます。
6. ディレクトリトラバーサル
ディレクトリトラバーサルとは、非公開のファイルにアクセスし情報を搾取する攻撃方法です。本来公開していない情報を不正に取得されるうえに、情報の改ざんや破壊行為が行われる危険性もあります。
実際に大企業が攻撃を受けた事例もあり、情報漏えいやアカウントの不正利用といったトラブルが発生しています。セキュリティツールの導入や、パラメータのファイル名が指定できないようにする対策が有効です。
CMSで実施するべきセキュリティ対策4つ
CMSで実施するべき基本のセキュリティ対策を解説します。
CMSを常に最新のバージョンに保つ
定期的にパスワードを変更する
不要なプラグインは削除する
WAFを導入する
技術的対策が知りたい方は下記のページもご確認ください。
関連記事:Webサイト制作のセキュリティ対策一覧|基本の対策から技術的対策まで
1. CMSを常に最新のバージョンに保つ
CMSの脆弱性を狙ったサイバー攻撃を防ぐためには、CMSを常に最新のバージョンに保つことが重要です。
CMSの脆弱性を完全に防ぐことは難しく「脆弱性が発見される→修正プログラムが配布される」という一連の流れに終わりはありません。配布された修正プログラムに新たな脆弱性が見つかることもあり、その度に新たなバージョンに更新することになります。
攻撃者にサイバー攻撃の隙を見せないよう、更新情報は常に収集してアップデートに備えましょう。
2. 長く複雑なパスワードを設定する
CMSのパスワードは長く複雑なものに設定しましょう。具体的には下記のようなパスワードが推奨されています。
パスワードは英数字記号含めて10桁以上にする
名前、電話番号、誕生日、簡単な英単語などは使用しない
同じID・パスワードを複数のサービスで使い回さない
名前や誕生日など、推測される数字や英単語だけでなく、「123456」「password」「000000」などの単純な文字列も避けるようにしてください。
3. 不要なプラグインは削除する
外部機能であるプラグインは多ければ多いほど更新の手間がかかります。不要なプラグインは放置してしまう人が多いため、運用に使わないプラグインは停止ではなく削除するようにしましょう。
またプラグインは必要以上に追加せず、必要になったら都度追加していくこともセキュリティ対策として有効です。
4. WAFを導入する
CMSを利用してWebサイトを運用するなら、セキュリティツールのWAF(Web Application Firewall)の導入も欠かせません。
WAFとはWebサイトを含めたWebアプリケーションを攻撃から守るセキュリティシステムです。アクセスの解析と遮断をする働きがあり、Webアプリケーションへの通信をチェックすることで不正アクセスを防ぎます。
大手レンタルサーバーやクラウド型・パッケージ型のCMSなら標準機能として装備されていることも多いため、導入予定のサーバーやCMSを事前に確認しましょう。
CMSの脆弱性を突く攻撃を防ぐにはセキュリティ対策が必須
CMSには脆弱性が確認されており、悪質なサイバー攻撃を防ぐにはセキュリティ対策が必須です。とくにオープンソース型CMSはセキュリティ対策を自社で行う必要があるため、どのような対策をしなければならないかや、対策の担当者を必ず確認しておきましょう。
「自社での管理が不安」「セキュリティ対策はプロに任せたい」とお考えなら、クラウド型CMSやパッケージ型CMSといった商用CMSの導入がおすすめです。商用CMSならベンダー側でセキュリティ対策を実施してくれるうえにサポート体制も万全。企業サイトを運営するうえで安心してセキュリティ対策を任せられるでしょう。
ちなみに弊社開発のリード獲得特化型CMSのLeadGridはセキュリティにも優れています。改ざん検知やWAFなど、最高レベルのセキュリティ基準に対応。自動アップデート機能もあり、手動でプログラムを更新することなく最新バージョンを利用できます。
上場企業を含む100社以上の導入実績があります。まずは下記から無料の資料をダウンロードください。
自社に最適なCMSがわかる比較表、無料配布中!
CMS導入をご検討中の担当者に向けて、60以上のCMSから32のサービスを厳選し、それらを表で比較した人気の資料をご用意しました。ぜひ社内の比較検討にご活用ください。
LeadGrid BLOG編集部は、Web制作とデジタルマーケティングの最前線で活躍するプロフェッショナル集団です。Webの専門知識がない企業の担当者にも分かりやすく、実践的な情報を発信いたします。
Interview
お客様の声
-
採用力強化を目的に更新性の高いCMSを導入し、自社で自由に情報発信できる体制を実現した事例
株式会社ボルテックス 様
- # 採用サイト
- # 採用強化
- # 更新性向上
Check -
直感的な操作性・自由に構成を変更できる柔軟性により、理想のサイト運営が可能になった事例
株式会社フォーカスシステムズ 様
- # コーポレートサイト
- # 更新性向上
- # 採用強化
Check -
ロゴ・サイト・モーション、すべてのデザインに世界観を込めたリブランディング事例
circus株式会社 様
- # コーポレートサイト
- # 更新性向上
- # リブランディング
- # 採用強化
Check -
物流DX企業として信頼いただけるようなサイトデザインに刷新し、SEO流入も増加した事例
三菱商事ロジスティクス株式会社 様
- # コーポレートサイト
Check
Works