ホームページ制作会社のバッドノウハウ


先日、「簡単にできるWordPressのセキュリティ対策×12」というページが公開されました。投稿している人はエンジニアを名乗っていますがプログラマ(コーダ)みたいですね。このブログを展開している会社は東京のウェブ制作会社です。

これに対して、こういうツイートをしてみました。

ブログ記事の採点表です。その中で×と△について論評も付けています。

比較的◯が多い記事なのですが、ウェブ制作会社さんのブログ記事で「セキュリティ」を語ると必ず出てくる、尚且つ、実践されている事が多い内容にはセキュリティの専門家として×を付けてあります。残念ながらウェブ制作業界に於いて脈々と受け継がれるバッドノウハウなんですよね。コレ。

私の所では毎日ログをチェックしています。ログを見ると判るのですが、悪意の第三者が攻撃する際に対象のサイトのソフトウェアが何であるかなんて一々確認していないんですよ。大多数が機械的な無差別攻撃です。なので、ブログ記事に書かれている「WordPressが自動で出力するタグを隠し、ソースを見てもサイトがWordPressで構築されていることがわからないようにするだけで、攻撃対象になるリスクを軽減できます」なんて事はないです。

実際、このバッドノウハウを利用して情報を隠蔽したサイトが脆弱性を突かれて改竄されているのを多数見てきていますし、そもそも、今どきのハッカーは昔ながらのイメージである「根暗な少年がパソコンに向かってちまちまコマンドを打つ」なんてい事はなくて、プログラムを組んで無差別攻撃をかけるのが常套手段です。そのプログラムで結果を返せば成功・失敗のログが自動的に取れるわけで、その結果を基に攻撃を本格化すれば効率が良いですからね。でも、この記事でも判るとおりウェブ制作業界では昔ながらのバッドノウハウは生き続けていて、それを実践しているわけです。

バカですね。

ログイン画面を隠蔽するって言うのも◯にしましたけど、実は意味が薄いです。それよりもWordPressの場合は管理者アカウントが外から簡単に確認できるので、それを偽装する方が早いです。プラグイン一発で出来ますから簡単ですし、ログイン画面に対する各種防御(まあ◯にしましたけど)をする必要もないですからね。実際、私の所ではアカウント偽装しかしていないですけど、侵入された事もないですし、侵入されそうになった事もない(ログイン試行のログを全てプラグインを使って取ってます)です。

セキュリティとは利用者の利便性を確保した上で攻撃を受けても防御できる体制を整えるのがベストだと考えます。その中で、何重にも対策をして不便にするのは本末転倒としか思えないんですよ。あくまでも私見ではありますが。

そして、過去の改竄事例等を分析するとバッドノウハウに基づいた対策をして安心したのか、適切なアップデートを長期に渡り怠り改竄される事例や情報流出させる事例が観測されていますし、管理者アカウントが突破されて改竄される事例も観測されています。また、最近はVPS(Virtual Private Server)を一つ借りて、知識も無いのに、そこに大量のウェブサイトを突っ込んで利益を出す会社が増えているせいなのか同一サーバー内に存在する多数のサイトが一気に改竄される事例が観測されています。

そういう分析結果を基にして、ウェブ制作会社利用者に対して推奨したいのは「改竄されたときの責任の明確化を契約書内に記載する」事です。だいたい、そこら辺が有耶無耶なのでウェブ制作会社はセキュリティの知識が進歩せず、本質的なセキュリティ対策を怠り、杜撰な管理から発生する改竄に対して責任を取らないという構図が出来ているのだと考えます。ウェブ制作会社の言いなりで契約せず、責任の明確化を行い、ウェブ制作会社にきちんとした仕事をさせる事が重要だと思います。特に、情報漏洩と言う事になれば被害は甚大ですし、小規模な企業の場合は倒産の危機にも襲われる事を念頭に置いて行動する事が大切だと言っておきます。

なお、私の会社では「ウェブ制作会社様向け情報セキュリティ支援サービス」と言うサービスの提供もしております。こういう対策をしているウェブ制作会社を選ぶのも賢い方法かと思います。世の中のウェブ制作会社の大半はそういう対策をしていませんので、セキュリティに関しては無知だと考えた方が良いです。

サイバー攻撃は大企業のみ対象にしているという都市伝説は忘れる事が大事であり、企業規模の大小に関わらず日々無差別に攻撃がされている事を認識すべきだと言う事を申し添えて、この記事を締めたいと思います。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です