【実践・情報セキュリティ講座】みんなが使っているサービスが危ない

2017/04/07

たくさんの会社で使われているワードプレス

「ワードプレス(WordPress)」と呼ばれるサービスがあります。無料でブログやウェブサイトを作成できるシステムで、オープンソース(プログラムのソースコードが一般公開されている)で提供されています。

以前は「ムーバブルタイプ」という人気を二分するサービスがあり、有料版とオープンソース(無料版)があったのですが、ライセンス変更などでいろいろと変ったため、多くのユーザーがワードプレスに移行しました。

ワードプレスを使う一番の理由は自社で簡単に更新できること。しかも無料。デザイン的にもいろいろなテンプレートが提供されているため、テンプレートを選べば、見栄えのよいウェブサイトを作ることができます。ただし、レンタルサーバーを借りて、ワードプレスの導入などの初期設定が必要です。

それほど難しい作業ではないのですが、会社にとっては本業以外の作業となります。また、会社らしいデザインを実現したいのなら、初期設定やデザインを含め、外部のホームページ制作会社に依頼することになります。

ただ、日々の更新は自社でできるため、最初の作成費だけをホームページ制作会社に支払うケースがほとんどです。ホームページ制作会社とは縁が切れますのでワードプレスの新しいバージョンがアップされると自力で更新しなければいけません。

更新は、けっこう頻繁にあり、多くの場合はセキュリティホールをふさぐためのバージョンアップです。バージョンアップは難しい作業ではなく管理画面で更新のボタンを押すだけです。

一方、凝った画像やレイアウトで作成依頼しているとリスクを取りたくないホームページ制作会社としては「バージョンアップでレイアウトが崩れる可能性があります」と言わざるをえません。このためバージョンアップをしていないケースや、そもそもバージョンアップする必要があることを分かっていない事業者もいます。

乗っ取りや攻撃の踏み台に

しかし、バージョンアップをしなければ、ある日、突然、自社のホームページに見たことがない画像とメッセージが表示されることになります。改ざんだけで済めばよいのですが自社が攻撃の踏み台にされ、加害者になることもあります。

多くの中小企業では、攻撃のターゲットになるのは大企業や有名な公共機関ばかりだと思っています。アクセス数も少ない自社サイトが攻撃を受けるとは思っていません。確かにマスコミなどで報道されるのは大企業が中心です。これは与える影響が大きく報道価値があるためですが、その影で多くの中小企業のサイトが被害にあっています。

攻撃側にすれば、どこでもよいので狙えるところを攻撃します。基本的に総当たり攻撃です。どこかのセキュリティが破れれば攻撃側としてはOK。ウェブサイトのハッキングレポートがありますが、2016年第3四半期には全体の74%がワードプレスへのハッキングでした。サイバーポリスへの相談でもワードプレスの改ざん相談が多く寄せられています。

ソフトウエアのアップデートを放っておかない

ワードプレスのセキュリティリスクを回避するためには、まずアップデートを放っておかないことです。

自社でできないのであればホームページ制作会社に月々のメンテナンス契約をして依頼して対応してもらいましょう。予算が限られているからといって、セキュリティ対策を怠るとページの改ざんやサイトの踏み台化の危険にさらされてしまうので注意しましょう。

これはワードプレスだけではなく、ほかのソフトも同じです、Windowsのアップデートをしておけばよいと思っている人も多いのですが、よく使うアドビの「アクロバット(Acrobat)」などもアップデートしてセキュリティの穴をふさいでおきましょう。


【教訓】みんなが使っているサービスほど危ない


水谷 哲也(みずたに・てつや)

1960年、三重県・津市生まれ。京都産業大学理学部卒。ITベンダーでシステムエンジニア、プロジェクトマネージャーを担当。その後、専門学校、大学で情報処理教育に従事。2002年に水谷IT支援事務所を設立し、所長に就任。三重県産業支援センター、大阪府よろず支援拠点、ひょうご産業活性化センターなどで経営、IT、創業を中心に累計4100件以上の経営相談を行う。

著書に「インターネット情報収集術」(秀和システム)、電子書籍「誰も教えてくれなかった中小企業のメール活用術」(インプレスR&D)。現在、All About企業のIT活用」担当ガイドとして、IT活用にまつわる様々なガイド記事を発信中。中小企業診断士、ITコーディネータ・インストラクター、アプリケーション・エンジニア、販売士1級&登録講師。

関連記事

ピックアップ記事

  1. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  2. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  3. 政府は11月をテレワーク月間と定め、時間と場所を選ばない働き方を推進しています。中には完全リモートワ…
  4. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  5. 自動化もデータ連携も、求められれば“いろんなことができる”Excelと Access。万能系の呼び声…
  1. Vol:08「IoT なう!!〜日本と海外の事例集〜」

  2. 【情シス×ストレッチ】~第8回~疲れ目対策ストレッチ「Eyeレッチ②」

  3. PCNW「個人/クライアント認証の最新潮流~Windows10に搭載された新時代の認証基盤~」第一回ITトレンド勉強会開催@大阪(12/20)

  4. 【DOCOMO Open House 2018レポート】後編:5Gだけじゃない、未来はすぐそこに

  5. 【DOCOMO Open House 2018レポート】前編:5G×テックで社会が、ビジネスが、生活が変わる

  6. 【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺

  7. 迫るアップデート終了、備えは大丈夫か!? Java有償化問題

  8. 【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺

  9. 【情シスの赤本】メール誤送信と取るべき対策

  10. 【情シス豆知識】愛される情シス・嫌われる情シス

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  4. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  5. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
  6. 2018/06/27 あと1年半まで迫ったWindows 7のサポート終了。しっかりとしたPC…
ページ上部へ戻る