"空き巣"入り放題！ ｢過去のサイト｣放置の怖さ 管理されていないページが招くサイバー攻撃

運用が終わったが閉鎖されずに放置されているWebサイトは、セキュリティ対策が適切になされず、サイバー攻撃の対象にされやすい（写真：タカス / PIXTA）

住宅大手の積水ハウスは2024年5月24日、顧客向け会員サイトがサイバー攻撃を受け、顧客情報と従業員等の情報が漏洩したと発表した。漏洩した情報はメールアドレスやパスワード等で、人数は顧客10万8331人、従業員18万3590人だ。現在運用していないページのセキュリティ設定に不備があり、そこを攻撃者に突かれたという^※。

【写真を見る】「運用を終えて放置されたページは、管理されていない空き家のようなもの」と話すIPAの大久保 直人氏

このように過去のページで適切な運用がなされず、閉鎖もされずに放置されると、重大なセキュリティリスクを招く。多大な損害を発生させたり信頼を失ったりする危険性があるが、企業はどう対策すればいいのか。

※ こちらを参照

10年以上前に運用を終えたページから情報漏洩

積水ハウスのケースのように企業が過去に公開し、現在は運用していないページからサイバー攻撃を受けるインシデントは、以前から存在し目新しいものではない。なぜ、運用していないページが狙われるのだろうか。

「運用を終えたページは運営者が十分に把握していない場合が多く、セキュリティの監視対象になっていないので、攻撃者から見ると運営者に気付かれず悪用を続けられる可能性が高い“メリット”があります。

また、ページの構成自体にセキュリティ上の欠陥があったとしても運用を終えているために修正がなされず、脆弱な状態になっている点も攻撃者に狙われやすい理由です。

簡単にいえば、運用を終えて放置されたページは管理されていない空き家のようなもので、人目につかないうえに必要なメンテナンスがなされず、設備が古くなってもそのままなので、容易に侵入しやすいのです」

IPA（独立行政法人情報処理推進機構）の大久保直人氏はそう説明する。つまり、放置された家（＝Webサイト）は“空き巣”が入りやすく、サイバー攻撃の格好の対象となってしまう。

放置されたサイトは悪用されやすい

運用されなくなったページとは、例えばイベントの開催やプロモーションに合わせて立ち上げたが、それが終了してお役御免となったまま、とくに管理されていないページや、販売を終了し放置された商品やサービスのページなどが挙げられる。

また、ウェブサイトをリニューアルし、ドメインも変更したが、以前のページがそのまま残っているケースもある。

「過去に運用していたページを適切に管理していないと、放置されたウェブサイトのサーバーに侵入され、その企業の組織内外に対する攻撃の踏み台として悪用されたり、会員情報など蓄積している情報が盗まれたり、ページの内容が改ざんされて利用者に悪意を持った情報が発信されてしまったりするリスクがあります」