"空き巣"入り放題！ ｢過去のサイト｣放置の怖さ 管理されていないページが招くサイバー攻撃

冒頭の積水ハウスの情報漏洩も、同社のリリースによると「2008年～2011年に実施したフォトギャラリーで使用し、現在は運用していないページでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けた」ものである。

ページ閉鎖時に気をつけたドメインの問題

実はIPAではすでに10年前の2014年に、「管理できていないウェブサイトは閉鎖の検討を」と呼び掛けている。

このときは古いバージョンのCMS（コンテンツ管理システム）の脆弱性を狙ったウェブ改ざんが横行し、改ざんによりウイルスを仕掛けることも可能であるため、注意喚起が行われた。公開したときはセキュリティ対策を万全に行ったつもりでも、後になって脆弱性が発見され、リスクの高い状態になる場合もあるからだ。

では過去にリリースし、現在は運用が終わっているページのセキュリティリスクには、どう対処すればよいだろうか。

「まず自社が公開しているページは、運用を終えているものも含め、すべて把握することが重要です。そして運用を終了するページについては、『〇年〇月〇日にこのページは閉鎖します』と適切に告知したうえでしっかり閉鎖し、アクセスできないようにする。

運用を終了したいが、何らかの理由で閉鎖できない、あるいは情報発信などのために公開を維持する必要があるといった場合は、もちろん日々の監視が必要になります。通常の運用と同じ状態で、セキュリティ対策をしっかり行いましょう」

ページを閉鎖する際に気を付けたいのがドメインの扱いで、今まで使用していたドメインを手放すと、悪意を持った第三者にそれを取得され、自社に成りすました情報発信を行われてしまうリスクがある。

最も安全なのはドメインを維持し続けることであるが、コストがかかってしまう。仮に手放さざるを得ないとしても、不正利用されていないか定期的に確認を続ける必要があろう。もし不正利用されてしまったとしたら、正規サイトの目立つ場所に注意喚起を行い、利用者に被害が発生しないような措置が必要である。

「ドメインに関してはそれをどのくらいの期間で使う予定なのかをよく検討して、新たに取得するか既存のものを活用するかを判断したほうがよいと思います。キャンペーンサイトなどで一時的に使用する場合は新たにドメインを取得するのではなく、すでに持っているドメインの活用を考えたほうがよいでしょう」

サイバーセキュリティ対策は必要不可欠な投資だ