本文へ移動

WordPressなどの無料CMSはなぜサイバー攻撃で狙われやすく、セキュリティ対策上の問題が発生しやすいのか?

WordPressなどの無料CMSはなぜセキュリティ対策の問題が発生しやすいのか?
  • 「無料で企業ホームページを制作したいけど、セキュリティは大丈夫なんだろうか?」
  • 「WordPressなどの無料CMSで作られたサイトがよくサイバー攻撃の被害にあっているけど、何か狙われやすい理由があるの?」
 
こんな不安や疑問をお持ちの方も多いのではないでしょうか?
 
WordPressを筆頭とした無料CMSは多機能で自由度も高いのですが、パソコンやWeb関係に長けた人材が少ない中小企業では、セキュリティ面でのリスクが大きいのも事実です。
 
今回は中小企業を狙ったサイバー攻撃の現状と、無料CMSはなぜサイバー攻撃の被害を受けやすいのかを詳しく解説します。

目次

CMS(Content Management System)とは?

CMS(Content Management System)とは?
CMSとは、コンテンツ・マネジメント・システム(Content Management System、コンテンツ管理システム)の略で、Webの専門知識がない方でも、簡単にホームページが作れるシステムのことを指します。
 
CMSを使わずにホームページ開設や更新をするには、HTMLやCSSなどの専門知識を一から勉強する必要があるうえに、編集作業自体も大変です。
 
ですが、CMSを導入すると、文章や画像をブラウザ上で入力するだけでページの追加や更新がおこなえます。
メールやWordが使える程度のパソコンの知識がある方であれば、誰でも簡単にコンテンツを追加してホームページを運営できるようになるのです。
 
※CMSの詳細や、企業ホームページにおけるWebコンテンツの重要性は、以下のページで詳しく解説していますので、こちらもご覧ください。

CMSの導入で更新が容易になるので、SEO対策を強化して売上げをアップしやすくなる

CMSの導入で更新が容易になるので、SEO対策を強化して売上げをアップしやすくなる
とりわけ、CMS導入による更新の簡便化は、非常に大きなメリットです。
 
ホームページ制作会社に更新作業を依頼する費用を節減できる点も大きいですが、現在のSEO(検索エンジン最適化)対策では良質なページの数を増やすほど、Yahoo!やGoogleからの集客力が増強されていくからです。
 
初心者でも簡単にページ追加や情報の更新ができるCMSは、SEO対策を実行しやすくし、集客や売上げの強化につながります。
 
Web経由で売上げをアップしたい、あるいは人材を獲得したい企業にとって、もはやCMSの導入は必須であるといっても過言ではありません。
 
※SEO対策や、ページ数の増加の効果については以下のページで詳しく解説していますので、ぜひこちらもご覧ください。

無料CMSの種類や、オープンソースとは何か?

無料CMSの種類や、オープンソースとは何か?
CMSのなかには、無料で利用できるシステムも存在します。
 
その代表格がWordPressです。
 
WordPressは、全世界のホームページの1/4で利用されているほど、圧倒的なシェアを誇るCMSです。
 
WordPressの大きな特徴が、オープンソースという形式です。
 
オープンソースとは、システムの設計図であるソースコードを全世界に公開しており、誰でも自由に編集ができる状態のことです。
 
オープンソースのCMSは自由にカスタマイズできるので、豊富な数のプラグイン(拡張機能)を利用でき、その恩恵を受けられます。
 
オープンソース形式の無料CMSには、WordPressの他にもJoomla!やDrupalなどの種類があります。
 
これらの無料CMSはコストを抑えて導入できるので、さまざまなサイトで利用されているのですが、近年になってセキュリティ面での不安点が多く指摘されています。
 
なぜ、無料CMSがサイバー攻撃に狙われやすいのかの解説をする前に、昨今のサイバー攻撃の現状についても簡単に説明しましょう。

サイバー攻撃のターゲットは大企業から中小企業へ

すでにサイバー攻撃のメインターゲットは中小企業へシフトしており、中小企業の30%がサイバー攻撃の被害を受けたとの報告もある

すでにサイバー攻撃のメインターゲットは中小企業へシフトしており、中小企業の30%がサイバー攻撃の被害を受けたとの報告もある
「サイバー攻撃なんて、どうせ狙われるのは大企業だけでしょ? ウチには関係ないよ」と考えている方も多いかもしれません。
 
ですが、現在サイバー攻撃のメインターゲットはすでに大企業から中小企業にシフトしているのです。
実際、情報セキュリティサービスの大手・シマンテックの調査によれば、サイバー攻撃を受けた会社のうち中小企業が占める割合は年々増加しており、2015年には従業員250人以下の小規模企業が43%でトップになっています。
 
参考ページ:『攻撃者は標的企業の規模を問わない』(PDF・シマンテック)
 
また、大阪商工会議所の調査では従業員50人以下の中小企業の30%近くがサイバー攻撃の被害にあい、ランサムウェアというウィルスに感染した会社も7%ありました。
 
参考ページ:『「中小企業向けサイバー攻撃対策支援事業の開始」ならびに「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」について』(PDF・大阪商工会議所)
 
すでに中小企業にとっても、サイバー攻撃はまったく他人事ではなくなっているのです。
 

中小企業はセキュリティ対策が不十分であることが多く、攻撃者にとっては格好のターゲットになる

中小企業はセキュリティ対策が不十分であることが多く、攻撃者にとっては格好のターゲットになる
すでに中小企業にとっても、サイバー攻撃はまったく他人事ではなくなっているのです。
 
昨今のサイバー攻撃で中小企業が集中的に狙われている理由は、セキュリティ対策の不備にあります。
 
大企業は堅牢なセキュリティ対策を備えていることが多いですが、中小企業はその大半がセキュリティ面で不備を抱えているために、攻撃者にとっては非常に攻めやすいターゲットなのです。
 
実際に、従業員10人程度の小さな会社でもサイバー攻撃の被害が報告されています。
 
2016年の産経WESTの記事では、従業員数10人の中小企業がサイバー攻撃の被害を受け、1900名を超える顧客情報が流出してしまった事件が報道されました。
 
 
この記事のなかで、情報セキュリティに詳しい立命館大学 情報理工学部の上原教授は「中小企業のほうがセキュリティー対策が甘い。だから狙われる」とコメントしています。

サイバー攻撃を受けると、企業にとってどんな損害が発生するのか?

サイバー攻撃の被害でもっとも懸念されるのが個人情報の流出で、平均損害賠償額は7,500万円にものぼる

サイバー攻撃の被害でもっとも懸念されるのが個人情報の流出で、平均損害賠償額は7,500万円にものぼる
それでは、サイバー攻撃を受けると企業にとってはどのような損害が発生するのでしょうか?
よく新聞やTVニュースでも話題になるのが、情報の流出です。

特に企業ホームページを狙った攻撃では、これまでお問い合わせした方の個人情報や会員情報が狙われることが多いです。
あるいは、ホームページに保存されている顧客や管理者の情報を突破口として、より機密性が高い重要な情報を得るための足掛かりとして利用されることも多いです。
 
個人情報を流出させてしまった企業の平均損害賠償金額は約7,500万円とされており、会社のイメージが毀損されることも考慮すると、全体的な被害総額は計り知れません。
 
 

近年はランサムウェア(身代金要求ウィルス)に感染したり、取引先の大企業の情報を盗むための踏み台にされたりと、サイバー攻撃の被害のダメージが甚大になっている

近年はランサムウェア(身代金要求ウィルス)に感染したり、取引先の大企業の情報を盗むための踏み台にされたりと、サイバー攻撃の被害のダメージが甚大になっている
さらに、ホームページを改ざんしてウィルスを仕込むことで、管理者や訪問者を悪質なフィッシングサイトに誘導したり、ランサムウェア(Ransomware)と呼ばれるデータを人質にした身代金要求ウィルスに感染させたりといった手法も横行しています。
 
また、大企業のデータへ侵入するために、そこと取引のある中小企業をサイバー攻撃して踏み台にして利用するケースも散見されます。
 
この場合、踏み台にされた中小企業は主観的には侵入を受けた被害者かもしれませんが、取引先の大企業からすれば、攻撃者をみすみす招いた加害者も同然として見られてしまいます。
 
それまで長年かけて築いてきた信頼関係も一瞬で崩壊してしまい、取引の打ち切りもありえるでしょう。
 
取引先をその会社に依存しているケースでは深刻な売上げの低下を引き起こし、最悪の場合は倒産することも考えられます。
 
以上のように、サイバー攻撃は中小企業を廃業の危機にも陥れかねない、深刻な被害をもたらすのです。

企業ホームページを狙ったサイバー攻撃にはどんなものがあるのか?

SQLインジェクションやクロスサイトスクリプティングによるホームページ改ざんや、DoS攻撃でのサーバーダウンが懸念される

SQLインジェクションやクロスサイトスクリプティングによるホームページ改ざんや、DoS攻撃でのサーバーダウンが懸念される
企業ホームページを狙ったサイバー攻撃の手法には、以下のようなものが挙げられます。
 
■SQLインジェクション
ホームページを狙ったサイバー攻撃のなかでは代表的な手法です。お問い合わせフォームなどにSQL文(データベースを操作する言語)を混ぜて送信することで、顧客情報の引き出しやサイトの改ざんをおこないます。
 
■クロスサイトスクリプティング
お問い合わせフォームの入力欄などに不正なJavaScriptを埋めこみ、ホームページを改ざんする手法です。訪問者のCookie情報の取得や、個人情報を盗むための偽物のメールフォームをサイト内に埋め込まれることもあります。
 
■DoS攻撃
1秒間に数万回もの大量のアクセスを企業ホームページに送りつけることで、サーバーをダウンさせる攻撃です。DoS攻撃を受けると、ホームページが表示されない状況が長期間続き、会社のイメージダウンや機会損失につがなります。

現在は企業ホームページの脆弱性を突くサイバー攻撃が主流であり、これはファイアウォールでは防げない

現在は企業ホームページの脆弱性を突くサイバー攻撃が主流であり、これはファイアウォールでは防げない
以上で紹介した手法のうち、SQLインジェクションとクロスサイトスクリプティングの二つはいずれもホームページやCMSの脆弱性を突いた攻撃です。
 
脆弱性とは、情報システム上のセキュリティ的な欠陥のことで、『セキュリティホール』とも呼ばれます。
人の手でプログラムを作成している以上、脆弱性を完全にゼロにすることは不可能であり、どんな優れたCMSでも脆弱性を突かれるリスクをはらんでいます。
 
そして、SQLインジェクションやクロスサイトスクリプティングのような、ホームページやCMS上の脆弱性を突いた攻撃はファイアウォールでは防げません。
 
ホームページのセキュリティ対策のお話をすると、「ウチはきちんとしたファイアウォールを構築しているから大丈夫だよ」とおっしゃる方も多いのですが、実はファイアウォールだけでは脆弱性を突かれた攻撃には無防備な状態となっているのです。

無料CMSを狙ったサイバー攻撃の数は凄まじく、2016年には150万件ものWordPressで制作されたサイトが改ざんの被害を受けた

無料CMSを狙ったサイバー攻撃の数は凄まじく、2016年には150万件ものWordPressで制作されたサイトが改ざんの被害を受けた
SQLインジェクションやクロスサイトスクリプティングによる被害は凄まじく、2016年には無料CMSであるWordPressで作られたサイトが150万件も改ざんの被害にあいました。
 
このように、WordPressのような無料CMSはサイバー攻撃のターゲットにされやすく、実際に多大な被害が発生しているのです。
 
それでは、なぜ無料CMSはサイバー攻撃で狙われやすいのでしょうか?
その理由をこれから具体的に解説していきます。

なぜWordPressなどの無料CMSは
サイバー攻撃の被害を受けやすいのか?

1.無料CMSは利用者が多いので、攻撃手段を開発するリターンが大きい

1.無料CMSは利用者が多いので、攻撃手段を開発するリターンが大きい
WordPressをはじめとした無料CMSがサイバー攻撃で狙われやすい第一の理由が、そのシェアの大きさです。
 
サイバー攻撃をおこなう者にとって、そのCMSを利用しているホームページが多ければ多いほど、ターゲットが増えることになりますので、シェアが大きいCMSほど新たな脆弱性や攻撃手法が発見されやすいのです。
 
これは泥棒にたとえれば、マイナーな鍵のメーカーよりも、一番多く使われている鍵のメーカーのピッキング方法を編み出したほうが空き巣のターゲットにできる家が増えるのと同じことです。
 
便利で多くの人が使っている無料CMSほど、新たなサイバー攻撃手段が開発されるモチベーションも高くなってしまいます。

2.オープンソースなので攻撃者が脆弱性を発見しやすい

2.オープンソースなので攻撃者が脆弱性を発見しやすい
WordPressなどの無料CMSはソースコードを公開しているために高い自由度が実現されていますが、そのオープンソース形式が、ことセキュリティの面では足を引っ張ります。
 
ソースコードというシステムの設計図が公開されているのは、攻撃者にとって中身を詳細に分析して脆弱性を見つけやすいということも意味します。
 
ふたたび泥棒にたとえれば、詳細な間取りが分かっている家のほうが侵入しやすいポイントを見つけやすいので、簡単に空き巣に入れるのと同じです。
 
オープンソースの無料CMSは、いわば設計図を全世界に公開している家のようなものですから、それだけ攻撃者も侵入手段を見つけやすいのです。

3.膨大な種類のプラグイン(拡張機能)が存在するので、サイバー攻撃の入り口を多数抱えることになる

3.膨大な種類のプラグイン(拡張機能)が存在するので、サイバー攻撃の入り口を多数抱えることになる
オープンソースの無料CMSには豊富なプラグインが存在し、その多機能性が魅力のひとつです。
 
ですが、プラグインはCMS本体とは別に脆弱性を抱えているので、サイバー攻撃の突破口として利用されやすい側面を持っています。
 
これらのプラグインはCMS本体の開発者とは別の人間が作っており、ボランティアのような形式で開発されているので、セキュリティが甘いことも多く、脆弱性が見つかってもなかなかパッチ(脆弱性を修正するプログラム)が配信されないケースもあります。
 
 
かといって、プラグインをまったく利用しないと、無料CMSは機能面で大幅に劣化するので、相当使いづらくなってしまうのが難しいところです。
 
便利なプラグインを多数導入するほどセキュリティの穴が多くなり、反対にセキュリティを高めようとすれば便利なプラグインが使えず操作性が悪くなる。
 
プラグインとセキュリティは、このようなジレンマに陥っています。

無料CMSでセキュリティ対策を整備するのは初心者には難しい

CMS本体のアップデートをこまめに実施して最新バージョンを保つことで、サイバー攻撃への耐性を付けられる

CMS本体のアップデートをこまめに実施して最新バージョンを保つことで、サイバー攻撃への耐性を付けられる
ここまで、無料CMSのセキュリティ面での不安点を細かく解説してきましたが、もちろんサイバー攻撃を予防する手段も存在します。
 
もっとも一般的なのが、CMS本体にこまめにアップデートをかけて、常に最新バージョンに保つことです。
 
CMSに脆弱性が発見されると、その弱点を解消した最新バージョンが配布されます。
 
最新バージョンへのアップデートは、無料CMSへのサイバー攻撃に対する有力な抑止力となりえます。

無料CMS本体のアップデートだけでは、プラグインの脆弱性は解消されないので、そこから攻撃を受けるリスクがある

無料CMS本体のアップデートだけでは、プラグインの脆弱性は解消されないので、そこから攻撃を受けるリスクがある
ただし、無料CMSのアップデートさえしておけば、セキュリティ的に万全かというと、そうではありません。
 
まず、本体が最新版になったとしても導入しているプラグインが脆弱性を抱えていた場合は、リスクは払拭されません。
 
多くのプラグインの中身を精査して、安全なものとそうでないものを選り分けて導入するのは、CMSのプロでも相当難しく根気がいる作業です。
 
また、CMSのバージョンをアップデートすると、ホームページの表示が崩れたり管理画面に不具合が生じたりすることがあります。
 
それを予防するには、アップデート前に現在のバージョンのCMSをバックアップしておくのがよいのですが、バックアップは初心者にはハードルが高い作業であることも事実です。

Webやセキュリティ対策の知識が乏しい中小企業では、ホームページ担当者が退職したときのダメージも大きく、無料CMSの安全性を確保できないことが多い

Webやセキュリティ対策の知識が乏しい中小企業では、ホームページ担当者が退職したときのダメージも大きく、無料CMSの安全性を確保できないことが多い
以上の理由から、脆弱性を克服した最新バージョンのCMSが配布されていても、実は多くのホームページが旧バージョンのまま放置されており、そこを攻撃者はさかんに狙っているという現状があります。
 
特に「ホームページ担当者が退職してしまい、Web関係に強い人間が社内に誰もいなくなってしまった…」という場合は、このような事態に陥りがちです。
 
Web関係に詳しい人材が複数存在する大企業ならば、ホームページ担当者が1人退職したとしても、リカバリーは容易でありセキュリティも崩れないでしょうが、中小企業ではそうはいきません。

CMS本体やすべてのプラグインを常に最新版に保てたとしても、未知の脆弱性を狙ってアタックを仕掛けるゼロデイ攻撃は防げない

CMS本体やすべてのプラグインを常に最新版に保てたとしても、未知の脆弱性を狙ってアタックを仕掛けるゼロデイ攻撃は防げない
加えて、もしCMS本体やすべてのプラグインを常に最新の状態に保てたとしても、セキュリティ面での課題は残ります。
 
最新バージョンへのCMSアップデートを完了すれば、確かに新たに発見された脆弱性を克服できますが、裏を返せばアップデートでは既知の脆弱性にしか対処できないということです。
 
まだ発見されていない脆弱性を狙ってアタックを仕掛けるサイバー攻撃のことを、ゼロデイ攻撃と呼びます。
 
ゼロデイ攻撃を受けると、公式から修正パッチが配信されるまでの期間に被害が発生しつづけることになります。
 
IPA(独立行政法人情報処理推進機構)の2017年4月~6月期の調査によれば、ウェブサイトの脆弱性のうち90日以内に修正が完了した案件は29%にとどまっています。
 
 
つまり、脆弱性が運良く認知・発見されても、大半の企業・団体が修正に3ヵ月以上を要しており、この期間はサイバー攻撃に対してノーガードになるということです。

ゼロデイ攻撃の抑止には、WAF(ウェブ・アプリケーション・ファイアウォール)の導入が効果的だが、初心者にはハードルが高い

ゼロデイ攻撃の抑止には、WAF(ウェブ・アプリケーション・ファイアウォール)の導入が効果的だが、初心者にはハードルが高い
このゼロデイ攻撃を抑止するには、CMSのバージョンアップだけでは不十分であり、WAF(Web Application Firewall、ウェブ・アプリケーション・ファイアウォール)というセキュリティ技術を導入して、ホームページへのアクセスを常時監視するのが有効な対策です。
 
ですが、このWAFの導入も、Webやセキュリティの知識が少ない人にとっては困難です。
 
以上の点から、無料CMSで満足できるセキュリティを整えるには、かなりの専門知識が必要となるので、大半の中小企業には相当厳しいのが実情なのです。
 
※WAFやSSLなどのセキュリティ対策技術については、以下のページでも詳しく解説していますのでこちらもご覧ください。

有料CMSやホームページ制作会社への委託なら、アップデートやWAF・SSLの導入も代行してくれる

Web関係に詳しい人材が複数人存在しない中小企業では、各種セキュリティ対策を代行してくれる有料CMSや、ホームページ制作会社への委託がお勧め

Web関係に詳しい人材が複数人存在しない中小企業では、各種セキュリティ対策を代行してくれる有料CMSや、ホームページ制作会社への委託がお勧め
これまで説明してきた理由により、Web関係に詳しい人材が少ない中小企業では、無料CMSを使うよりも、有料のCMSやホームページ制作会社に委託したほうがセキュリティ面では安心できます。
 
CMSの最新バージョンへの更新も自動的におこなわれますし、WAFやSSLなどの初心者には構築が難しいセキュリティ対策も代行してくれます。
 
WordPressなどの無料CMSを用いてホームページを構築するタイプの制作会社に委託するときは、CMS更新の際のバックアップや、WAFやSSLの導入を代行してくれるのかなどのセキュリティ面についても、契約前に確認しておくのがよいでしょう。
 
これにより、「ホームページ担当者が退職したら、CMSの更新に支障が出て、その間にサイバー攻撃を受けてしまった!」というリスクも低減できます。
 
また、オープンソース形式でない有料CMSであれば、相対的にサイバー攻撃のターゲットにされづらい点も大きなメリットです。

わずかなコストを惜しんで無料CMSを自社運用してリスクを抱えるよりも、有料CMSやホームページ制作会社へ委託したほうが、長い目で見るとお得になる

わずかなコストを惜しんで無料CMSを自社運用してリスクを抱えるよりも、有料CMSやホームページ制作会社へ委託したほうが、長い目で見るとお得になる
すでにご紹介しましたが、個人情報を流出させてしまった際の企業の損害賠償の平均額は約7,500万円であり、会社の信頼性の失墜なども勘案すると、サイバー攻撃を受けたときの損害は莫大なものになります。
 
目先のわずかな費用を惜しんで、知識があまりないのに無料CMSを導入してセキュリティ面でリスクを抱えるよりは、有料CMSや制作会社への委託を選んだほうが、長期的にみるとお得です。
 
Web関係やセキュリティ対策に詳しい人材が社内に複数存在するのであれば、無料CMSを社内で運用しても大きな問題はないでしょうが、もしそうでないならば、有料のサービスを導入することをお勧めします。

企業向けCMS・おりこうブログなら、難しいセキュリティ対策も代行します!

弊社の企業・団体向けCMS おりこうブログなら、ホームページのデータをバックアップするのと同時に、脆弱性を克服するリビジョンアップを自動的にかけているので安心です。 さらに、ゼロデイ攻撃に備えてWAFの導入や、全ページのSSL化を代行するプランもご用意しておりますので、セキュリティ対策に詳しくない方でも企業ホームページを安全に運営できます。 ご興味のある方は、ぜひ以下から詳細をご覧ください。
弊社の企業・団体向けCMS おりこうブログなら、ホームページのデータをバックアップするのと同時に、脆弱性を克服するリビジョンアップを自動的にかけているので安心です。
 
さらに、ゼロデイ攻撃に備えてWAFの導入や、全ページのSSL化を代行するプランもご用意しておりますので、セキュリティ対策に詳しくない方でも企業ホームページを安全に運営できます。
 
ご興味のある方は、ぜひ以下から詳細をご覧ください。

あわせて読みたい記事