Webサイトのハッキング事例とWordPressと受注・運用時の注意点

事の始まりは、FacebookでWebサイトのハッキング被害の投稿を見かけたところから。
私がとてもお世話になっているWeb屋の方の投稿でした。

状況は以下になります。

過去に利用していた古いプログラムがサーバーに「過去ファイル」として一部残っていて、その脆弱性をつかれ、ハッキング被害を受けたとのこと。

古いプログラムといってもいろいろとありますが、簡単に説明するなら、WordPressのようなコンテンツを管理・更新できるシステムという理解でよいと思います。

よく知られているWordPressはCMS（コンテンツ管理システム）の一つであり、このCMSは自社オリジナルのものからWordPressのようなオープンソースのものまで数えきれない種類があります。

脆弱性（ぜいじゃくせい）とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

総務省国民のための情報セキュリティサイトより

脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状で、常にプログラムのアップデートが必要となり、脆弱性が残された状態で放置しているのはとても危険な状態なのです。

今回のハッキングの流れは、

海外からの大量のアクセスが発生、そのアクセスのどれかが脆弱性をついてサーバーに侵入、悪意のあるファイルが埋め込まれる。

ということだったようです。

そして、何より恐ろしいのが、マルチドメインで運用している場合、一つのドメインがやられると、他のドメインにも飛び火してしまう。

ということは、マルチドメインで制作案件を管理していると、すべての案件に悪意あるファイルがばらまかれるということ。

まとめると、

更新されていない古いプログラムは絶対にサーバー上に残してはいけない。
マルチドメインでの運用は今回のようなリスクが伴う。

出先でこのFB投稿を見かけて、私も同じ状況にある。
これは、まずい！と慌てて帰宅。

私の場合は、過去、MTOS（MovebleTypeオープンソース版）というCMSを多用している時期があり、まだ、そのまま運用している複数の案件が残っていた。
保守契約をしているので「知りません」ではすまされない！

救いは、マルチドメインで運用していなかったこと。

私自身のサーバーにもこの古いMTOSを複数置いていた。
テスト目的で利用していた更新されていないWordPressもあった。

帰宅後、すぐに心当たりのあるWebサイトのバックアップをとり、削除できるものは削除した。

幸い、私の管理している案件・サイトは平常通りでしたが、

当たり前のことなのに、本当に恥ずかしい。

知識として持っていても、ちゃんと対応できていなかった自分の甘さ。
今回の件で、今後のWebサイト制作業務・運用を考え直させられた。

今は、グルグルと

MTOSのままの現在ある保守契約のWebサイトをどうするか？
お客様にわかりやすく、どう説明するか？
今後の保守契約をどうするか？
を検討中。

私のWebでの情報発信の基本的な考え方は、

独自ドメインで公式サイトやブログ運営をすることで基盤ができ、資産になる。
その他のプラットフォーム（アメブロ、note、SNSなど）を利用する場合は、いつ、そのサービスがなくなっても困らないコンテンツ管理が大事。

という考え方。

だけど、今回のことで再認識。

Webの知識のない方に簡単に「WordPressでWebサイトを運用しよう」ということを進められないなと思っています。

WordPressと関連プラグインを常に最新の状態にすることやハッキングのリスクもちゃんと伝えないと。（過剰におびえる必要はないのだけれど。）

私の今後の対策まとめです。参考にしていただけると嬉しいです。

マルチドメインでの運用はしない。

案件ごとにサーバーを借りる。
私は毎日自動でデータベースのバックアップをとってくれるエックスサーバーにしています。

WordPressの基本的なセキュリティ対策は手を抜かない。

以下のコンテンツを参考にしてください。

⇒ WordPress中級編・5分でできるセキュリティ・テーマ内にランディングページを作る方法（2019.05.18）

⇒ WordPress中級編・セキュリティ・データの移動、スムーズな納品について（2019.03.24）

受注の際に、ハッキングのリスクもしっかりと伝える。

WordPressに限らずどんなプログラムにも起こりうることなので、過度に脅かさないように。

リスクを避ける手段と制作者として自分に対応できるのは、どこまでの範囲かをしっかりと伝えること。

契約書に「第三者によるホームページ改ざん等により生じた損害について」の項目を必ず入れる。

以下のページで紹介している契約書の第１０条（免責と責任の上限）第４項・第５項にあたります。

⇒ マル秘！行政書士監修・Webサイト制作契約書・契約時の特記事項

保守契約をする場合は、期間は1年ごとにする。

Webの世界は状況がどんどん変わるので複数年では契約自体が古くなる。
自身の利益だけでなく、お客様にとってもリスクを最小限にできる提案を常に考える。

以上を守っていけば、かなりのリスクは避けられると思います。

ただ、前述のようにWebの世界は変化が早いので、常に情報収集し、制作体制は変えていく必要があると、私自身も今回は本当に勉強になったし、改めて気を引き締めていきたいです。