"空き巣"入り放題！｢過去のサイト｣放置の怖さ

2024年9月27日 9時0分

運用が終わったが閉鎖されずに放置されているWebサイトは、セキュリティ対策が適切になされず、サイバー攻撃の対象にされやすい（写真：タカス / PIXTA）

住宅大手の積水ハウスは2024年5月24日、顧客向け会員サイトがサイバー攻撃を受け、顧客情報と従業員等の情報が漏洩したと発表した。漏洩した情報はメールアドレスやパスワード等で、人数は顧客10万8331人、従業員18万3590人だ。現在運用していないページのセキュリティ設定に不備があり、そこを攻撃者に突かれたという※。

このように過去のページで適切な運用がなされず、閉鎖もされずに放置されると、重大なセキュリティリスクを招く。多大な損害を発生させたり信頼を失ったりする危険性があるが、企業はどう対策すればいいのか。

※ こちらを参照

10年以上前に運用を終えたページから情報漏洩

積水ハウスのケースのように企業が過去に公開し、現在は運用していないページからサイバー攻撃を受けるインシデントは、以前から存在し目新しいものではない。なぜ、運用していないページが狙われるのだろうか。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

「運用を終えたページは運営者が十分に把握していない場合が多く、セキュリティの監視対象になっていないので、攻撃者から見ると運営者に気付かれず悪用を続けられる可能性が高い“メリット”があります。

また、ページの構成自体にセキュリティ上の欠陥があったとしても運用を終えているために修正がなされず、脆弱な状態になっている点も攻撃者に狙われやすい理由です。

簡単にいえば、運用を終えて放置されたページは管理されていない空き家のようなもので、人目につかないうえに必要なメンテナンスがなされず、設備が古くなってもそのままなので、容易に侵入しやすいのです」

IPA（独立行政法人情報処理推進機構）の大久保直人氏はそう説明する。つまり、放置された家（＝Webサイト）は“空き巣”が入りやすく、サイバー攻撃の格好の対象となってしまう。

放置されたサイトは悪用されやすい

運用されなくなったページとは、例えばイベントの開催やプロモーションに合わせて立ち上げたが、それが終了してお役御免となったまま、とくに管理されていないページや、販売を終了し放置された商品やサービスのページなどが挙げられる。

また、ウェブサイトをリニューアルし、ドメインも変更したが、以前のページがそのまま残っているケースもある。

「過去に運用していたページを適切に管理していないと、放置されたウェブサイトのサーバーに侵入され、その企業の組織内外に対する攻撃の踏み台として悪用されたり、会員情報など蓄積している情報が盗まれたり、ページの内容が改ざんされて利用者に悪意を持った情報が発信されてしまったりするリスクがあります」

冒頭の積水ハウスの情報漏洩も、同社のリリースによると「2008年～2011年に実施したフォトギャラリーで使用し、現在は運用していないページでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けた」ものである。

ページ閉鎖時に気をつけたドメインの問題

実はIPAではすでに10年前の2014年に、「管理できていないウェブサイトは閉鎖の検討を」と呼び掛けている。

このときは古いバージョンのCMS（コンテンツ管理システム）の脆弱性を狙ったウェブ改ざんが横行し、改ざんによりウイルスを仕掛けることも可能であるため、注意喚起が行われた。公開したときはセキュリティ対策を万全に行ったつもりでも、後になって脆弱性が発見され、リスクの高い状態になる場合もあるからだ。

では過去にリリースし、現在は運用が終わっているページのセキュリティリスクには、どう対処すればよいだろうか。

大久保直人（おおくぼなおと）／独立行政法人情報処理推進機構セキュリティセンター対処調整部脆弱性対策グループ。民間企業にてソフトウェア開発に携わり、その後、転職し、サイバー犯罪対策に関する業務などを経て、2023年にIPAに入構。現在は、情報システムの脆弱性対策業務として、情報セキュリティ早期警戒パートナーシップの運営・改善、脆弱性情報の発信、脆弱性対策の普及・推進等の業務に従事（写真：本人提供）

「まず自社が公開しているページは、運用を終えているものも含め、すべて把握することが重要です。そして運用を終了するページについては、『〇年〇月〇日にこのページは閉鎖します』と適切に告知したうえでしっかり閉鎖し、アクセスできないようにする。

運用を終了したいが、何らかの理由で閉鎖できない、あるいは情報発信などのために公開を維持する必要があるといった場合は、もちろん日々の監視が必要になります。通常の運用と同じ状態で、セキュリティ対策をしっかり行いましょう」

ページを閉鎖する際に気を付けたいのがドメインの扱いで、今まで使用していたドメインを手放すと、悪意を持った第三者にそれを取得され、自社に成りすました情報発信を行われてしまうリスクがある。

最も安全なのはドメインを維持し続けることであるが、コストがかかってしまう。仮に手放さざるを得ないとしても、不正利用されていないか定期的に確認を続ける必要があろう。もし不正利用されてしまったとしたら、正規サイトの目立つ場所に注意喚起を行い、利用者に被害が発生しないような措置が必要である。

「ドメインに関してはそれをどのくらいの期間で使う予定なのかをよく検討して、新たに取得するか既存のものを活用するかを判断したほうがよいと思います。キャンペーンサイトなどで一時的に使用する場合は新たにドメインを取得するのではなく、すでに持っているドメインの活用を考えたほうがよいでしょう」

サイバーセキュリティ対策は必要不可欠な投資だ

ウェブサイトやページを新たに立ち上げるときは力を入れて取り組んでも、用済みになると適切な運用がなされず、自社内で存在を誰も気にすることなく閉鎖もせず、放置されてしまうことは珍しくない。しかしそれが重大なセキュリティリスクを招き、多大な損害を発生させたり信頼を失ったりする危険性には目を向けておくべきだろう。

「ランサムウェア被害や情報漏洩のニュースを対岸の火事とは思わず、次は我が身と最悪の事態を考え、対策していくことが重要です。そのためにも自社が保有するIT資産や、過去に公開したページも含むウェブサイトをすべて把握して、適切な管理を行い不要なものは適切に閉鎖することが重要です。

経済産業省とIPAで出している『サイバーセキュリティ経営ガイドライン』では、サイバーセキュリティは企業活動におけるコストや損失を減らすために必要不可欠な投資であり、その実践は経営者の責務と書いています。サイバー攻撃を受けると多大な損失につながりかねないので、サイバーセキュリティについて経営者はしっかり意識する必要があります」

（宮内健：ライター）