1. HOME
  2. B'scre8
  3. サイトが不正アクセスされたらどうなるの?
B'scre8

サイトが不正アクセスされたらどうなるの?

ビーズクリエイトの伊藤です。
過去の記事でWEBサイトへの不正アクセス防止の手法をご紹介しましたが、いかがでしょうか。

ログイン失敗回数
上記画像はWEBサイトに対する直近の失敗ログインの回数です。
これほどの失敗回数は普通はないので、サイトに関係のない第三者からの不正アクセスが発生している状況と見れます。

以前の記事で紹介した以外にも、当社ではセキュリティ向上としてお客様のサイトには色々防御を取っていますが、こうしたセキュリティを向上させる仕組みが現代では手軽に導入できるようなっていつも助かっています。
(少し前は防御手段は専門性の知識が必要だったり、導入・維持コストが高かったので)
不正アクセスを防ごう!とはたびたび問題提起しているのですが、実際に不正アクセスされたらどうなるのか?という目線で今回は言及していみたいと思います。

不正アクセスされたらどうなるのか?

不正アクセスされたということは、WEBサイトの管理者権限を取られた=ID+パスワードが第三者にバレたという状態になります。
管理者権限を平たく言うと、そのWEBサイトを好き勝手出来ることになったということです。
アカウントを作ったり・削除したり、WEBサイトの投稿機能で好き勝手に記事を投稿したり、アップロードした画像などのファイルを自分のPCにダウンロードするなど、そういうことが出来ることになります。
この時点でヤバさは伝わるかと思いますが、さらに具体的に言及してみましょう。

▼サイトが持っている情報が抜かれる
表題の通り、文字情報や画像などのアップロードしたファイル類が入手できます。
例えば、会員登録をするサイトは世の中にいくらでもあるわけで、サイトの中に会員情報を持っているパターンは多いです。
仮に数万、数十万のユーザーを抱えるECサイトだったら……まぁとんでもないわけです。

▼サイトに犯罪に繋がるものが仕込まれる
管理者権限を取られた場合、サイトを自由にいじることも可能になります。
勝手にページを増やしたり削除したり、メールフォームの宛先を変えてしまうなど。
また、サイトの所有者に乗っ取りを気づかれないように、サイトに情報収集系のスクリプトをこっそり仕込んでおいて放置ということもありえます。
この場合、サイトに不正アクセスをされたことが気づかれなければ、今後も既存のユーザーがサイトに訪問することが期待できるため、普通にサイトを運営してくれれば、サイトに仕込んだ仕組みによって情報が提供されるわけです。

▼クレジットカード情報も狙われる
たとえば大手ECやWEB口座を騙った迷惑メールを受け取ったことは誰でもあるはずです。そのメールの中のURLはリテラシーがあればクリックしないでしょう。ただし、公式サイトから決済ページに飛んだ場合は疑うでしょうか?
上述の通りサイトの管理者権限を取られれば、リンクで移動する先のURLも改竄可能です。
仮にECでこれをやられたら、カード決済サイトを装ったダミーサイトへ誘導させて、カード情報を入力させて収集することができてしまいます。
これは直接的にユーザーに金銭的損害を与えるためヤバさが伝わりやすいと思います。

不正アクセスされたら

上記は簡単に思い浮かびやすい一例で、現実はもっと巧妙ですが高い確率で犯罪に巻き込まれます。
仮にクレジットカード決済のダミーサイトに誘導するリンクをサイトに仕込まれたとします。
サイト管理者がこれを察知するのは、おそらくダミーサイトで決済後のトラブルが発覚してからになる可能性が高いです。
そもそもサイトへの不正アクセスを感知できなかった時点で、サイト内のURLを置き換えられたことに管理者が気付けるかという点で疑問があるためです。

場合によってはサイトに改竄を検知する仕組みを入れている場合もありますが、そういうセキュリティ意識のある方は当然不正アクセスが実現しないようにログイン段階で手を入れています。
そのため、不正アクセスが実現するのであれば、その後の察知は難しく被害が拡大してから気付くことになる可能性が高いです。

こうした現実的なリスクの問題から、過去記事でセキュリティの強化を勧めました。
改めてサイトがノーガードでしたら、導入の簡単なプラグインから始めていただくことを強く推奨します!

>不正アクセス防衛の過去記事はこちら



ビーズクリエイトは長野県東御市にある唐沢農機サービスという農機具屋を母体とした、WEBサイトの制作・コンサルティング事業を展開する部門です。
WEBサイトを通した自社の知名度や評判の向上、問い合わせや商品注文などの売上増などのお悩みについて、WEBサイトの制作やコンサルティングといった形でお手伝いさせていただいています。

◆ビーズクリエイト公式サイト
https://www.bscre8.com

ビーズクリエイトでは新卒・中途、WEB業界の経験・未経験者を問わず求人を受け付けております。
WEB業界で何かを成し遂げたいという気持ちをお持ちの方は、是非お声がけ下さい。

◆当社リクルートサイト
https://recruit.karasawanouki.co.jp