Web制作ノウハウ

CMSの脆弱性(セキュリティリスク)とは?問題の理由や対策方法

WRITERおおしろ広報

  • TOP
  • ブログ
  • CMSの脆弱性(セキュリティリスク)とは?問題の理由や対策方法

SAHRE

こんにちは、ジーピーオンラインのおおしろです!

Webサイトを運営しようとしている方なら、「CMSの脆弱性によってサイバー攻撃を受ける」ということを耳にする機会があると思います。しかし「CMSの脆弱性ってなに?」と疑問に感じている方は多いのではないでしょうか?
この記事ではCMSの脆弱性について詳しくご紹介します。CMSで問題が発生する理由や対策方法もご紹介しているので、ぜひ最後まで読んでみてください。

ジーピーオンラインにCMS導入の相談をする

もくじ

  1. CMSの脆弱性(セキュリティリスク)とは
    • 個人情報の流出
    • ウイルス感染
    • サイト情報の改ざん
  2. サイバー攻撃の種類
    • 特定ターゲットを狙った攻撃
    • 不特定多数を狙った攻撃
    • 脆弱性を狙った攻撃
    • パスワードを突破する攻撃
    • サーバー負荷をかける攻撃
  3. なぜCMSはセキュリティ上の問題が発生するのか
  4. オープンソース型CMS特有のセキュリティリスク
  5. CMSのセキュリティ対策方法
    • CMSのバージョンを常に最新に保つ
    • パスワードを定期的に変える
    • 使用するプラグインを最小限に留める
    • WAFを導入する
  6. CMSの選び方
  7. まとめ

CMSの脆弱性(セキュリティリスク)とは

CMSの脆弱性(セキュリティリスク)とは

CMSのセキュリティリスクとして想定されることは主に

  • 個人情報の流出
  • ウイルス感染
  • サイト情報の改ざん

の3つです。

個人情報の流出とは言葉の通り企業やWebサイトが抱えている個人情報が流出してしまうことです。ウイルス感染とは、Webサイトにウイルスがばら撒かれてユーザーが正しいページにアクセスできなくなることで、サイト情報の改ざんとはサイトの内側(HTMLなど)を変えられることです。このようなCMSのセキュリティリスクが生じることで、クライアントやユーザーから損害賠償の請求を受けたり、社会的な信用が低下したりすることが考えられます。

個人情報の流出

CMSの脆弱性として最も企業に影響を与えるのは「個人情報の流出」です。
運営しているサイトによって抱えている個人情報数は異なりますが、ECサイトなどであればサイト内に多くの個人情報が記録されています。もしECサイトが攻撃を受けて個人情報を流出してしまうとなると、企業が抱える損害賠償額は数千万円以上に及ぶと言われています。

実際に大手企業が個人情報を流出してしまった事例も存在します。個人情報を抱えているWebサイトは万全のセキュリティ対策をおこなう必要があります。

ウイルス感染

CMSの脆弱性によってWebサイトが「ウイルス感染」してしまった場合は、ユーザーが運営者の意図していないページに飛ばされたり、正しくページにアクセスできなくなったりします。さらにWebサイトにアクセスしたユーザーもウイルス感染してしまう可能性があり、二次感染の恐れを考えるとWebサイトの運営をストップさせる必要があります。ウイルス感染してしまうことは、社会的な信用低下につながる可能性が高いです。

サイト情報の改ざん

CMSの脆弱性によってWebサイトが「サイト情報の改ざん」にあってしまうと、ユーザーが正しくページにアクセスできなくなったり、誤った情報が発信されたりする可能性があります。もし誤った情報が発信されてしまうと、クライアントやユーザーが被害を受けることもあり、社会的な信用は低下するでしょう。

脆弱性によってサイト情報が改ざんされる事例は「トヨタニュースコンテンツ」など、大手企業が運営しているWebサイトでも起きているため、万全のセキュリティ対策をおこなう必要があります。

サイバー攻撃の種類

サイバー攻撃とは上記でお伝えした「個人情報の流出」や「サイト情報の改ざん」をおこなうことで、下記の5種類に分けられます。

  • 特定ターゲットを狙った攻撃:特定のターゲットに絞って攻撃をおこなう
  • 不特定多数を狙った攻撃:不特定多数のユーザーに対して攻撃をおこなう
  • セキュリティホールを狙った攻撃:CMSの脆弱性をついて攻撃をおこなう
  • パスワードを突破する攻撃:パスワードを破り不正ログインして攻撃をおこなう
  • サーバー負荷をかける攻撃:サーバーのトラフィックに対して攻撃をおこなう

Webサイトを攻撃から守るためには、運営者自身がサイバー攻撃について理解することが大切です。

特定ターゲットを狙った攻撃

企業・団体・部署など特定のターゲットに絞ってサイバー攻撃をおこないます。
この攻撃は「標的型攻撃」と言われていて、メールを利用することが多いです。クライアントや友人を装い、悪意のあるサイトのURLを貼ったメールを送り、PCやスマホなどの端末に「マルウェア」を感染させようとします。ターゲットを絞った攻撃の目的は個人情報やお金の奪取です。

不特定多数を狙った攻撃

ターゲットを絞らずにサイバー攻撃をおこない、不特定多数のユーザーにマルウェアを送信します。
この攻撃は「無差別型攻撃」と言われていて、代表的な手口は「フィッシング詐欺」です。
偽物のWebサイトを経由させてユーザーから個人情報などを盗む手口で、一度フィッシング詐欺にあってしまうと、パスワードが勝手に変更されるなど被害は多岐に渡ります。

脆弱性を狙った攻撃

SMCの脆弱性(セキュリティリスク)をついてサイバー攻撃をおこないます。代表的なのは「ゼロデイ攻撃」と言われるもので、新たな脆弱性が発見されたときに修正プログラムが提供される前におこなわれる攻撃です。脆弱性の対策を取られる日を1日目(ワンデイ)と考えて、それより前におこなわれるので0日目(ゼロデイ)と呼ばれています。
ゼロデイ攻撃を受けてしまうと、個人情報の流出や情報の改ざんの被害を受ける可能性が高いです。

パスワードを突破する攻撃

パスワードを見破り不正ログインしてサイバー攻撃をおこないます。代表的な手口が、映画やドラマなどで見かけることが多い「ブルートフォースアタック(総当たり攻撃)」です。パスワードを見破る手法の1つで、可能な組み合わせを全て試します。人間がおこなうと相当な時間がかかりますが、手軽に実行できるツールが横行していて、パスワードが見破られてしまうと受ける被害は大きいです。

サーバー負荷をかける攻撃

サーバーのトラフィックに負荷をかけるサイバー攻撃です。代表的なものが1対1でおこなわれる「DoS攻撃」です。DoS攻撃ではプロトコルを攻略して大量のデータを送り付ける「フラッド型」とWebサイトの脆弱性を利用する「脆弱性型」の2つに分けられます。DoS攻撃を受けてしまうと、トラフィックが上昇してしまい提供しているサービスに異常が起こったり停止したりする可能性が考えられます。

なぜCMSはセキュリティ上の問題が発生するのか

CMSのセキュリティ上で問題は発生する理由は大きく2つ挙げられます。
1つ目が上記でお伝えしたゼロデイ攻撃が存在するからです。新しい脆弱性を発見してすぐに対策することが理想ですが、必ずタイムラグが生じます。そのタイムラグが長引けば長引くほどゼロデイ攻撃を受ける可能性が高まります。そしてゼロデイ攻撃は攻撃されていることにも気付きにくいです。

2つ目が「オープンソース型CMS(WordPress)」を利用している企業が多いからです。利便性・効率的な観点から考えるとオープンソース型CMSを利用することが最適なのですが、脆弱性が分析されやすいです。その結果、セキュリティ上で問題が発生します。

オープンソース型CMS特有のセキュリティリスク

オープンソース型CMS特有のセキュリティリスク

オープンソース型CMS特有のセキュリティリスクとして「侵入されやすい」ということが挙げられます。オープンソース型CMSでは「システムの設計図」が公開されている状態のため、サイバー攻撃されやすい傾向にあります。さらにオープンソース型CMSではプラグインが豊富に存在するため、脆弱性(セキュリティリスク)を狙いやすいです。脆弱性を狙いやすいということは、侵入できる可能性が高いということです。

CMSのセキュリティ対策方法

サイバー攻撃を受けないためには、CMSのセキュリティリスク対策をおこなう必要があります。
CMSのセキュリティ対策方法は下記の4つが挙げられます。

  • CMSのバージョンを常に最新に保つ
  • パスワードを定期的に変える
  • 使用するプラグインを最小限に留める
  • WAFを導入する

1つの対策方法だけを導入してもあまり効力は発揮されないため、セキュリティ強度を高めるためには4つ全ての対策方法を導入することが大切です。

CMSのバージョンを常に最新に保つ

CMSのバージョンを常に最新に保つことでリスクの低減が可能です。
古いバージョンで運用していると脆弱性が残ったままになり、攻撃を受けやすくなります。

またCMSのバージョンを最新にアップデートしていないと、「セキュリティ管理の低いWebサイト」と判断されて、狙われやすくなります。ただしバージョンを最新にアップデートしても攻撃を受ける可能性があるので、最低限の対策と考えてください。

パスワードを定期的に変える

パスワードが見破られないように、定期的に変更することが大切です。定期的に変更することでセキュリティ対策にはなるのですが、単純なパスワードに変更してしまうと意味がありません。
複雑なパスワードに定期的に変更することが大切です。
英語・数字・記号を混ぜ合わせた8桁以上のパスワードに設定するとより効果的です。

使用するプラグインを最小限に留める

オープンソース型CMSでは豊富なプラグインが使用できるのですが、セキュリティに甘いものが多いため最小限に留めることが大切です。
使用しているプラグインの数が多ければ多いほど、攻撃を受ける可能性が高まります。
使用するプラグインは最小限に留めて、不要になったものはすぐに削除するようにしてください。

WAFを導入する

Webサイトのセキュリティ強化を図れる「WAF」を導入することが大切です。多くのサイト運営者がファイアウォールやIDS/IPS製品を導入すればセキュリティは強化されると思っているのですが、それだけでは攻撃を防げません。ファイアウォールやIDS/IPS製品では対応していない「アプリケーションレイヤ」のセキュリティを強化するためには、WAFの導入が必要です。

CMSの選び方

CMSは利便性に長けているものを選びがちですが、セキュリティ対策の整っているCMSを選ぶことが大切です。利便性に長けていても、サイバー攻撃を受けてしまうと意味がありません。

「個人情報の流出」や「サイト情報の改ざん」などで企業が受ける被害は大きいため、CMSはセキュリティ対策の整っているものを選ぶようにしてください。
CMSの選び方について詳しく知りたい方はこちらの記事を参考にしてみてください。
【関連記事】CMSの選び方とは?種類や特徴、おすすめCMSを紹介

まとめ

CMSのセキュリティリスクとしては「個人情報の流出」や「ウイルス感染」が考えられ、一度サイバー攻撃を受けてしまうと多額の損害賠償請求や社会的な信用の低下など、企業が受ける被害は大きいです。 またサイバー攻撃にはさまざまな種類があるため、1つでも脆弱性があると攻撃を受ける可能性が高まります。そのためCMSのセキュリティ対策をおこなって、セキュリティ対策の整っているCMSを選ぶことが大切です。

ジーピーオンラインにCMS導入の相談をする

関連記事
制作実績

制作実績一覧へ

私たちジーピーオンラインは、
大阪・東京のWeb制作会社です。