実録!『私はこうしてHPを乗っ取られました』
友田 成生
ある朝、Googleから1通のメールが届きます。その内容は・・・
『あなたのウェブサイトは改善されている可能性があります。・・・』
!?夫婦二人で経営している小さなケーキ屋さんに何が起こったのか。皆さんの間近にも迫っている脅威について、実体験を元にお話していきます。
Googleからのメッセージの意味
ケーキ屋さんのホームページに起きたこと
Googleからのメッセージに慌てて自社のホームページを開きます。
パソコンに導入していたセキュリティーソフトが危険を察知し、自分のホームページを見れない状態になっていました。
どんな攻撃、改ざんを受けていたのか
ブログ一覧ページにフォルダを被せられる
攻撃者は自身が管理するサイトからこのフォルダの中身https://petitlapin-kyoto.jp/blog/ファイル名にリンクを貼ります。そしてこのファイルにはフィッシング詐欺や不正なショッピングサイトへのリンクが含まれます。
つまり、詐欺サイトへのリンクが有るのは攻撃者のサイトではなく、プチ・ラパンの公式ホームページになってしまうわけです。
スマホで見たときだけ海外のショッピングサイトに
パソコンで見たときには普通にプチ・ラパンのホームページが表示されるのですが、スマホで見ると海外のショッピングサイトに飛ばされてしまいます。リダイレクトというのですが、表示する画面サイズによって表示するページを出し分けるプログラムを書き加えられていたようです。
なぜ気づかなかったのか
ブログ記事を執筆する時、書いた記事のプレビューとリンクの確認、あってもトップページを見るくらいで、まずブログ一覧ページを見ることはありません。同様にパソコンで更新した自社の記事をスマホで閲覧するということはあまりしていませんでした。
つまり攻撃を加えられた部分は、そのサイトの管理者が日ごろ訪れない部分であったということです。攻撃者にとってはサイト管理者に気づかれて修正されたら元も子もないですから、当然といえば当然なのですが。
Googleからのメッセージの意味
いわゆるペナルティです。悪質サイトや改ざんが疑われるサイトに対して人力で行われる最後通知のようなもの。インデックスから除外されます。これはつまり、検索結果に表示されなくなるということ。これは今の時代では店舗が存在しないと思われるにほぼ同義なのではないでしょうか。この状態は問題を解消してGoogleに再審査を請求してパスするまで続きます。
防御の第一歩、攻撃の種類を知ろう
攻撃者が何を狙ってどんな攻撃をしてくるかを知れば、対策を講じることができます。例えばカーテンが空いているだけで泥棒はカーテンを占めるというひと手間があるために対象にしなくなるとも言われています。あまりウェブに詳しくない私達でもできるホンの一工夫が、大事なホームページを守るガードマンとして機能してくれます。
パスワード関係
ログインパスワードを見破って管理者として、つまりあなたのふりをして自由に振る舞おうとする攻撃です。
攻撃タイプの一例
- ブルートフォース攻撃: 機械的にあらゆるパスワードの組み合わせでログインを試行してくる。
- 辞書攻撃: 辞書に載っている単語単位で攻撃してくる。長いパスワードを設定していても単語を含むと1文字と変わらない強度になってしまう。
- パスワードリスト攻撃: 他のサイトから流出したパスワードを利用してきます。
フォームやコメント欄も狙われている
こちらの対策は少し専門的になります。コメント欄やフォームにプログラムを記述して操作してくる攻撃や、画像に偽装したプログラムを送付してくる攻撃などがあります。ですので、必要がなければ、コメント機能やフォームを設置しないという思い切りも必要です。
自分でできる対策
パスワード強化
やはり一番簡単で、効果が高いのが「パスワードの見直し」です。
パスワード作成時のポイント
- 英数大文字・小文字、記号を使った長いパスワード
- 事業所名や単語を含めない
- パスワードを使い回さない
よく耳にすすポイントですが、攻撃の種類を知った今その意味が少しでも理解できるのではないでしょうか。
英数大文字・小文字、記号を使った長いパスワード
パスワードの組み合わせは【文字数】✕【桁数のべき乗】で表されます。※べき乗はx²とかx³で表される2乗とか3乗すること。
つまりアルファベットは26文字あるので一桁だと26¹=26通り、二桁だと26²=676通り、更に3桁だと26³=17576通りになります。一桁違えば大違い。
これが大文字と小文字を使い分けると52文字となり一桁で52¹=52通り、二桁で52²=2704通り、三桁になると52³=151424通りです。文字数が倍になると組み合わせの数は2倍、3倍ではなく、2倍、4倍、8倍と指数的に増えていきます。
以下にコンピューターといえど、指数的に増える組み合わせを総当りで簡単に見破ることはできなくなります。長くて複雑なパスワードにする理由です。
事業所名や単語を含めない
例えば、companyという単語をパスワードに含めたとします。文字数だけ数えれば7文字ですが、辞書の項目で言えば1語です。つまり26⁷=8031810176通りだと思って設定したものが、辞書攻撃する側から見ると26¹=26通りにしかならないということです。
事業所名やご自身のお名前などは辞書を引く必要もなく最も簡単に類推できるためにもちろんNGです。
結局、パスワードはよく【おすすめのパスワード】として提案される、覚えようのない無秩序な文字列にするのが最適解ということになります。泥棒のカーテンの例でも示したように、あなたが面倒なことは攻撃者にとっても厄介なもの。もっと簡単に破れるところを探すでしょう。
パスワードを使い回さない
これは言うまでもなく、万が一あるパスワードが破られてしまったとき、被害が一つで済むか、その他たくさんになるかということです。パスワードの入力は手間に感じるかもしれませんが、改ざんされたホームページをもとに戻すときの労力やかかる経費に比べればとても簡単なことです。実際に被害にあった人間が言うのですから、間違いありません。
ツールの導入
無料で役立つツールを導入しましょう。ツール名で検索すると導入方法が初心者向けに書かれた記事がたくさん出てきます。意外と簡単にできますよ。
Googleサーチコンソール
以前は『ウェブマスターツール』という名前でした。ここで言う「ウェブマスター」とはウェブの達人という意味ではなく、ウェブサイトの所有者という意味。つまり皆さんのためのツールなのです。
サーチコンソールを導入すると
- 改ざんされた可能性がある時にメールが来る。(冒頭部分でのGoogleからのメールはこのツールを導入していたからこそです)
- 改ざんにあったとき、Googleの再審査請求はこのツールがないとできない
- サイト運営上の様々な情報を教えてくれる
検索キーワードが分かったり、Googleがどの程度ホームページを認識してくれているか、表示速度などのホームページの健康状態を知ることもできます
Googleアナリティクス
無料のアクセス解析ツール。攻撃されていると急に数値が伸びたり海外からのアクセスが増えたりします。(わからなくても、毎日眺めることで変化に気づくことができ、早期発見につながるでしょう。
セキュリティプラグイン
ワードプレスでホームページを運営されている方は必須です。インストールしていても有効化して動いている状態になっていないものを少なくない割合で見かけますので、今一度確認してください。多くのものが導入するだけで効果がありますが、少しずつ設定の意味を調べていくと大事な項目の設定漏れなどがなくなります。
契約の見直し
ホームページの管理を業者にお任せしている方、何を任せて何にお金を支払っているか理解していますか?いざというときに役に立たないものにお金を支払っているかもしれませんよ。
契約内容を確認しよう
- サーチコンソールを導入しているか聞いてみる
「なにそれ?」と言われたら、別のところに変えたほうがいいかも。 - バックアップがどうなっているかを確認しておく
バックアップがあると回復作業が、安く済む可能性があります。 - 乗っ取りにあったときの対応を確認しておく
対応が遅れると被害が広がります。 - 回復のための料金を確認しておく
管理費と回復費は別である可能性が大きいです。一時的に数十万円かかるでしょう。最近は保険もあるようなので検討しても良いかも。
