中小企業のためのネットビジネス&キーワード最新事情

ブログ・CMSのセキュリティ対策を行おう

素早い情報配信のために、ブログやCMSなどのパブリッシングシステムを利用している方は多いと思います。オンライン上のパブリッシングシステムは、便利な半面、インターネット経由の攻撃にさらされることが少なくありません。

皆さんが運営しているホームページ、ウェブメディアを安全かつ円滑に運用するために、ブログ・CMSソフトウェアのセキュリティは常に意識しておきたいポイントです。

今回は、Web改ざんなどのオンライン攻撃の実際、そして、どのように対策を考えるべきかについて、触れたいと思います。

ブログやCMSに対する攻撃の実際

ブログやCMSに対する攻撃は、主に次の3段階に分かれて行われる傾向があります。

  1. 使用しているブログ・CMSの識別
  2. ブログ・CMS特有の脆弱性・弱点への攻撃
  3. データ改ざん
cms_security.png

(イラストは「CMS Hacking -Analyzing the Risk with 3rd Party Applications」より)

攻撃者はまず、攻撃したいサイトがどんなブログ・CMSを利用しているかを特定しようとします。ブログ・CMSの種類、そして使用中のバージョンがわかると、すでに発見されている脆弱性から攻撃が可能となるからです。

また、ブログ・CMSによっては、管理画面の位置が特定しやすいものがあり、管理画面を集中的に狙った攻撃をしかけることも可能となります。現在は、IDとパスワードを順番に組み合わせて自動的にログインを試すようなプログラムも多く存在します。攻撃者は、そのようなプログラムを利用して、自動的に管理画面の権限を奪取しようとしてきます。

実際にブログ・CMSの脆弱性の攻撃が成功、または管理画面の操作権限を奪取が成功すると、そこから公開されているホームページの改ざんができてしまいます。いたずら程度の改ざんならまだ良い方で、政治的なメッセージを書かれたり、非合法な画像を勝手にアップロードされたりすると、ビジネス信用上、大きな問題につながることもあります。

攻撃を回避するために

それでは、このような攻撃を回避するためには、どんな点に注意すべきでしょうか。対処方法をいくつかご紹介します。

常に最新版のバージョンを使う

古いバージョンのソフトウェアを使ったままだと、そのバージョンが脆弱性を内包している場合、攻撃されてしまいます。一般的に、ソフトウェアは新しいバージョンにおいて、過去に見つかった脆弱性に対して対応を行っていますので、できるかぎり最新版にバージョンアップを行うようにしましょう。

管理画面にアクセスしづらくする

ソフトウェアの管理画面のURLを、オンライン上からは想像しづらい場所に隠したり、管理画面に対してベーシック認証を掛けることで、攻撃者は容易にアタックがしづらくなります。オープンソース系のブログ・CMSでは、管理画面の場所を変えることが難しいソフトウェアもあるため、注意が必要です。

IDとパスワードを推測しづらいものにする

パスワードは、文字数が長いほど、セキュリティレベルがあがります。また、アルファベットだけでなく、数字や記号を混ぜることで、さらに破られる危険性が下がります。

例えば、4桁+数字のみでパスワードを生成する場合、その組み合わせは10万個ほどになります。一方で、6桁+英数字のパスワードを生成する場合、その組み合わせは570億個にまで広がります。 このように、パスワードの桁数、文字種類を増やすことで、セキュリティのレベルはグッと上がります。

上記のようなポイントを意識するだけで、攻撃や改ざんの危険性はぐっと下がることでしょう。

もしMovable Type をお使いの場合は、以下の記事に記載されているような対応を行うことで、さらにセキュリティレベルは上がります。ぜひご一読いただき、皆さんがお使いのMovable Type の設定を見なおしてみてください。

2014/09/30 11:15:35

シックス・アパート株式会社 エバンジェリスト 長内毅志
シックス・アパート株式会社 エバンジェリスト 長内毅志

Movable Type プロダクトマネジャーを経て、現在、Movable Type エバンジェリスト兼デベロッパーリレーションマネジャー。

ワークスタイル変革教本vol.1 ワークスタイル変革教本vol.2

Google Adsense