IGARASHI BLOGオリンピック関係でのフィッシング詐欺

  1. TOP
  2. 技術ブログ
  3. 五十嵐 技術ブログ
  4. オリンピック関係でのフィッシング詐欺

オリンピック関係でのフィッシング詐欺


フィッシング詐欺

東京オリンピック・パラリンピックのライブ配信を騙るフィッシング詐欺が増えているそうです。
特定のサイトが改ざんされ、東京オリンピック・パラリンピックのライブ配信が行われるということで、それを見るためのリンクを辿っていくとクレジットカードを入力する画面に行きます。
そこでカード番号を入れてしまうと、情報が騙し取られてしまうという詐欺です。

過去には丸川珠代五輪相の公式ホームページがハッキングにあっている

過去2017年2月には、丸川珠代五輪相の公式ホームページがハッキングにあって話題になったことがあります。
丸川氏は、政府のサイバーセキュリティ戦略本部で副本部長も務めていただけに、政府要人を狙った高度なサイバー攻撃かと当時は思われました。

しかし同じ時期にホームページがハッキングされたのは、国内の大学や病院、企業など50以上のサイトで同様の被害が確認され、これらに共通するのは、ホームページ編集のためのソフトウエア「ワードプレス」を使用していたことから、この一連の攻撃はワードプレスを狙ったものだと分かりました。

それ以前から、ワードプレスの開発者は、ワードプレスに脆弱な部分があることに気づいており、その脆弱な部分を修正した新しいバージョンを作成。2017年1月下旬から、ソフトの更新を利用者に呼びかけていたそうです。

なぜ、ホームページは改ざんされるのか?

ホームページが改ざんされる原因は、大きく分けて2つあります。

1つ目は

ホームページ上にデータをアップする際のデータ送信に使用する専用のプロトコル「FTP」のIDとパスワードが漏洩し、その情報を使ってデータが書き換えられてしまうことです。
こちらの方は、それぞれのサイトにアクセスするためのFTP情報は、それぞれ異なるために特定のサイトを意図的に改ざんする目的で、かつ人による作業が絡んだ改ざんであることが多いでしょう。
よって、もしこの方法で改ざんされたとしても、ログから足がつくのでその後に犯人が捕まる確率も高いと思われます。

2つ目

ホームページで使用しているプログラムが狙われる。例えばホームページ編集のためのCMS「ワードプレス」のセキュリティーホール、またはワードプレスに入れているプラグインのセキュリティーホールが狙われて、それを利用している世界中のホームページがターゲットとなってしまうケースです。

こちらは、上記セキュリティーホールを持ったサイトをロボットを介して見つけ出し、そしてロボットで誰かの個人のパソコンや、セキュリティーの弱いサーバーなどを経由して、一斉にハッキングしていきます。
ターゲットとなる相手は世界中にあり、そしてロボットでできることからハッカーにとっては効率がいいです。
かつ、足がつきにくいので捕まりにくいというハッカー側のメリットもあるでしょう。

先に紹介した、丸川珠代五輪相の公式ホームページがハッキングされたのも、こちらのケースであり、どちらかと言うと丸川珠代氏を狙ったわけではなく、たまたま丸川珠代五輪相の公式ホームページで使っていた「ワードプレス」のバージョンが古かったか、そこで使っていたプラグインのバージョンが古かったかで、ハッキングにあってしまった。ということでしょう。

ホームページが改ざんされない対策は?

ずばり言うと、世界中で使われていて、世界中から狙われるリスクのある「ワードプレス」というCMSは使わないことです。
「ワードプレス」は無料で使えるオープンソースのCMSのため、これについての情報も沢山あります。また、プログラミングを1から作らなくても使える機能がそろったプラグインも豊富にあるため、ホームページ制作会社からしてみると、実装しやすいのは間違い無いでしょう。

しかし「ワードプレス」は、常にセキュリティー対策でバージョンアップしていくため、これを放置しておくと先に紹介した事例のように、ホームページが改ざんされてしまうことになります。
(もちろん、常に最新バージョンにしておけばリスクは減りますが、最新にすることで表示が崩れたり、プラグインとの相性が悪くなってサイトが表示されなくなったりすることが、たびたび起きてきます。)

いざ、改ざんされてしまうと、そのホームページを見たことで被害に遭う方も出てきますし、元の状態に復帰するにはデータを常にバックアップしている対策が必要となります。

当社では、国産のセキュリティーにも強い「a-blog cms」というCMSを使って実装しますので、上記のようなフィッシング被害に遭う確率はワードプレスの何万分の1と言っていいでしょう。
かつ、当社でホームページを管理する場合は、毎日バックアップをとっていますので、いつでも前日の状態に戻せます。
万一の時でも、簡単に復旧できるということも、重要な対策の1つだと考えているからです。

自社のホームページは大丈夫。
誰しもそう思っていますが、最初にホームページを制作する場合に、後々のリスクを考えて制作する必要があると私は思います。

タグ:ハッキング フィッシング ホームページ