サイバー攻撃
サイバー攻撃は大きく分けると、バラまき型、標的型の2つです。
パソコン
重要データの流出、メールアカウントの乗っ取り、他へのサイバー攻撃の踏み台にされるなど、さまざまな被害が発生。年々手口が巧妙化し被害件数も増えています。
(1)バラまき型(無差別型)
無差別にメールを送り悪意あるサイトに誘導し、IDやパスワードを入力させるもの、マルウェア感染させるものなど。
(2)標的型
特定の企業をターゲットにして、パソコンおよび周辺機器の脆弱性を狙った攻撃。有名企業や大手企業でのランサムウエア被害の多くはこの攻撃です。
(3)マルウェア感染
マルウェアは悪意のあるソフトウェアのこと。感染することで深刻な被害が発生します。データー流出は顧客情報や取引先との仕事関連(CADや設計データーなど)が含まれた場合、信用の失墜につながります。また流出したデーターは回収不可能であり、二次、三次・・と被害が拡大することもあります。個人情報の流出は顧客や取引先に経済的な被害を与えることになります。
(4)ランサムウェア感染
近年、増加しているのは「ランサムウェア=身代金要求ウイルス」。パソコン内のすべてのデーター暗号化して使えなくし、復旧に仮想通貨などで多額の金銭を要求する手口。
WordPress
世界中のWEBサイト(小~中規模)の約7割でWodPressが利用されており、攻撃を受けるリスクが非常に高いCMSです。パスワードの漏洩だけでなく、プラグイン等の脆弱を狙った攻撃です。
攻撃の影響
- サイト内容が改ざんされる。
- ウイルス(マルウェア等)が仕掛けられ、ユーザー(閲覧者)に影響を与える。
- メールフォーム等で情報を保存している場合は、ユーザー情報の漏洩。
1については、バックアップがない場合は復旧が困難(ほぼ不可能)です。2と3については、多くの場合、すぐに気づくことが困難で、ユーザーへの被害が大きくなるケースもあり、ユーザーへ深刻な損害を与えることがあります。
対策(必須)
WordPress(以下WP)のセキュリティー維持には下記の3つが必要です。
(1)パスワードを複雑にする。
従来は英数+数字で8桁以上が推奨されていましたが、最近はより高度なパスワード生成が推奨されています。
(2)WPのアップデート
WP本体、プラグイン、テーマの3つのアップデートが必須です。またサーバー側のPHP、SQL、CGIプログラムも常に最新(推奨)バージョンにする必要があります。
アップデートを行わないと、HPの改ざんやウィルスを仕掛けられたりなどのリスクが大きくなります。また開発が終了したテーマの場合は、サーバー側の最新PHPバージョンに対応できなくなり、HPの表示や動作が不安定になります。また最新のPHPバージョンに対応できないため、セキュリティーリスクも大きくなります。
またプラグインについては、開発元が更新を終了した場合、最新のWPバージョンに適応できなくなった場合もあります。この場合もセキュリティーリスクが大きくなります。
(3)サーバー管理(アカウント)の漏洩
サーバー管理に必要なアカウント情報が流出した場合は、HPだけでなくメールアカウントを含めすべての情報が悪用されます。大元のアカウント情報であり、漏洩した場合にHPやメールの再構築には、相応の期間と費用が発生します。サーバー会社を装ったフィッシングなどでハッキングされるケースが多い。厳重な管理が必要です。
