MENU

あなたのホームページに脆弱性はありますか

突然、外国語のメールが大量に届いたりしたことはありませんか?
中には、膨大な量で届き通常の業務のメールが埋もれてしまったことで、その整理に時間が割かれてしまうようなことがあった人もいるのではないでしょうか。

外国語のメールが大量に来る状況に至る原因はいくつか考えられますが、もし、あなたの企業がホームページを持っていてそこにお問い合わせフォームがある場合、そこからが狙われて大量のメール受信につながっていることもあります。

コラムのタイトルは「脆弱性(ぜいじゃくせい)」についてですが、裏トピックは「サイバー攻撃」です。セキュリティ対策の不備(脆弱性)が招くこのような事態について今回ご紹介します。

目次

大量のメール受信の裏では何が起こっているのか?

いわゆる迷惑メールである「スパムメール」の原因はいくつか考えられます。

先にお伝えしますが、もし自分がそのようなメールを受信していても、マルウェア(悪意のあるソフトウェア)やウイルス感染・フィッシングメールの可能性があるので絶対に開いたりクリックしたりしてはいけません。

問い合わせフォームへのスパムメールの仕組み

問い合わせフォームを活用したスパムメールは「スパムbot」というロボットが行っています。
スパムbotには、フォームに入力する内容がプログラムされており、Web内を巡回しながら、問い合わせフォームへの自動入力を繰り返しているのが特徴です。
問い合わせフォームの項目に「悪質なURL」や「ウイルス」を仕込んでおり、メールを受信した人がそれを開くとウイルスに感染する可能性があります。
この場合、どんな人でも(ロボットであっても)自由に送信することができるお問い合わせフォームであること(セキュリティ対策が弱い)が原因の一つです。

自動返信メールを利用したスパムメール

お問い合わせフォームから送信される、入力者宛の自動返信メールの仕組みを悪用したスパムメールの仕組みは以下のようになります。

1、攻撃者がスパムbotを利用し、お問い合わせフォームのメールアドレス欄に標的となるユーザーのアドレスを入力する。
2、「問い合わせ内容」などの自由入力欄に、フィッシングサイトのURLやサービスの広告リンクを入力し、送信する。
3、お問い合わせフォームから、スパムbotが入力したアドレス宛てに自動返信メールが送信される。
4、攻撃者がbotを利用して1~2の手順を繰り返すことで、自社のお問い合わせフォームから第三者に対して大量のスパムメールが送信される。

このような仕組みにより、自社のお問い合わせフォームから全く関係のないユーザーに対して、大量のスパムメールが送信されてしまいます。自社宛てにはスパムが届かないものの、結果として企業側が第三者に対する攻撃者とみなされてしまうのです。

要するにスパム攻撃の「踏み台」にされてしまったのです。
スパムbotが自由に操作できるセキュリティの弱いお問い合わせフォームであることが何よりの原因です。

しかし何よりも一番怖いのは、迷惑メールを勝手に送ってしまうことで「加害者」となってしまうことです。

このサイバー攻撃は近年激増しており、情報通信研究機構(NICT)の調査によれば、サイバー攻撃関連通信のパケット数が、この10年間に約66倍も増えました。2021年の年間パケット数が5,180億まで達し、1 IPアドレスあたり年間平均174万パケットも観測されたと報告されています。

大量メールを送るだけじゃない!サイバー攻撃の種類

今回ご紹介するサイバー攻撃の種類は一例ですが、「SQLインジェクション」「クロスサイトスクリプティング」などは、自分の意図しないところで、勝手にそのプログラムを操作されてしまったりすることで犯罪の踏み台になってしまいます。意図はなくとも自分が犯罪に加担してしまうことや、スキを突かれるような脆弱性への対応が不足していることは社会的責任の追求やブランドの失墜を招きますので、必ずコストをかけて対策をするようにしましょう。

フィッシングとは

「フィッシング詐欺」という言葉を聞いたことがありますか?一般的には銀行やカード会社を騙るメール・送信元のアドレスを偽るメールの意味で、「攻撃」とは少し文脈が異なるかもしれませんが、この「フィッシング詐欺」もれっきとした「サイバー攻撃」の一つです。

SQLインジェクション

SQLインジェクションとは、データベースを動かすために使う『SQL言語』を、お問い合わせフォームの入力欄に入力することで、アプリケーションに本来とは違う動作をさせるサイバー攻撃です。

例えばお問い合わせフォームに入力された情報は、サーバーで受け取られた後、データベースに保存されます。この仕組みを利用し、お問い合わせフォームに『SQL言語』を入力すると、自動的に『SQL言語』がデータベースに保存されてしまうのです。この時に保存されたデータ(SQL文)が悪意のあるもので、保存されているデータ全てを破壊したり外部に移すなどの動きをするような操作をされてしまったら、と考えるだけで恐ろしいですね。

クロスサイトスクリプティング

クロスサイトスクリプティングとは、お問い合わせフォームにユーザーが情報を入力・送信する際に、埋められた悪質なHTMLスクリプトが実行され、入力された情報に加えCookie情報なども攻撃者に送るサイバー攻撃です。ホームページの制作者が意図していない場所にJavaScriptを実行するコードを埋め込んで操作する攻撃の種類なので、サーバー操作ができるPHPを使用しているアプリケーションでは真っ先に対応が必要といえます。

サイバー攻撃に遭ったとき、影響範囲はどこまで広がる?

自社のサイトが攻撃され被害に遭ったとしても、その影響は自社内で収められる範囲内だったでしょうか?最悪の場合、取引先や顧客にまで伝播していることも考えられます。

企業のイメージダウン

悪意を持った第三者によるサイバー攻撃で企業が管理している個人情報が漏洩した、という事件は後を絶ちません。そのようなニュースを目にしたとき、企業に対するユーザーの信頼度は低下していきます。

預かった個人情報を管理できない企業、個人情報を大切に扱えない企業とみられてしまうことで、築いてきた信頼を失います。セキュリティ対策を厳重に行うことは、企業の信頼を維持・向上させるために欠かせません。

機会損失

一度失った信頼は、そう簡単に取り戻せるものではありません。ましてやインターネット上に書かれた悪評は永遠に残り続けます。そうなってしまうと、情報漏洩をしてしまったこと自体は過去のことで、現在は十分なセキュリティ対策をしていても、「サイバー攻撃で情報漏洩させた企業」と言われ続けるのです。

結果、目に見えない機会損失が起こる可能性が十分にあります。過去の情報漏洩についての噂を知り、利用を控えるユーザーが一定数発生することも考えられます。

多額のコスト

サイバー攻撃を受け、情報漏洩などの被害が出ると、目に見えない信頼や機会を失うだけではなく、多額のコストもかかります。主なコストは下記の通りです。

被害状況の調査費用
お問い合わせ対応・謝罪など顧客対応にかかる費用
損害賠償請求にかかる費用
システムの修復にかかる費用

また、これまでセキュリティ対策が十分ではなかった場合、新たにセキュリティ対策をするための費用もかかります。対策をしていた場合でも、サイバー攻撃に対する脆弱性があったわけですから、その対策にかかる費用が必要です。

つまり、セキュリティ対策が不十分だと想定外のコストがかかってしまい、経営を圧迫する可能性があります。

セキュリティ対策にはどんなことをしたらいいの?

総務省のホームページにサイバーセキュリティに関する情報が網羅的に掲載されています。

国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html

SSL

SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつです。クレジットカード番号や、一般に秘匿すべきとされる個人に関する情報を取り扱うWebサイトで、これらの情報が盗み取られるのを防止するため、広く利用されています。また、SSLは暗号化に加え、電子証明書により通信相手の本人性を証明し、なりすましの防止もしています。

RIDEのSSL証明書
https://speever.jp/ssl/

SSL証明書 | レンタルサーバーのSpeever
SSL証明書 | レンタルサーバーのSpeever

SSL暗号化通信が行われているかどうかの確認方法
Webブラウザのホームページアドレスを入力するURL欄に「https:~」から始まるホームページアドレスが表示され、鍵マークが表示されていればSSLによる暗号化が行われています。
鍵マークをクリックすることで、暗号化の電子証明書を確認することができます。
※お使いのWebブラウザによってはURL欄の表示が緑色に変わったり、鍵マークが表示される場所が異なります。

WAF(Webアプリケーションファイヤウォール)

WAF(Web Application Firewall)は、ユーザーが送信する内容をすべて監視しているためです。通信内容が怪しい場合、そのリクエストを遮断したり管理者にアラートを飛ばしたりします。
WAFはWebアプリケーションのセキュリティ上の不備を故意に利用するSQLインジェクションや、脆弱性をもつWebサイトの閲覧者に対して、不正なスクリプトを読み込ませて被害を引き起こすクロスサイトスクリプティングなどを検知することが可能なので、多様化しているサイバー攻撃に大いに効果があります。

 もう一つ、一般的であるファイアウォールは、ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みです。しかし、その通信をどう扱うかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。
防御対象はWAFとは異なり、内部ネットワークが対象であり、不正アクセスなどをブロックすることができます。

代表的なWAF:攻撃遮断くん
https://cloud.speever.jp/shadan-kun/

攻撃遮断くんの導入支援 - クラウドコンシェルジュ
攻撃遮断くんの導入支援 – クラウドコンシェルジュ

Captcha

お問い合わせフォームを悪用したスパム対策として、人間かBotを判別する仕組みをもつGoogle社のreCAPTCHAを利用することが有効な対策のひとつです。お問い合わせの送信時に画像認証を行うことで、機械的な送信を防ぎチェックボックスの有効化をユーザに要求します。

他には、メッセージ本文にひらがなが含まれているかチェックする方法などもありますが、お問い合わせフォーム送信だけで実現できる対策はあまり効果がのぞめません。
人間か Bot の判断を reCAPTCHA を利用することで、格段に効果があがりますのでGoogle reCAPTCHAの利用をおススメします。

まとめ

お問い合わせフォームのスパム対策は早めが肝心です。スパム対策も進化している一方、スパムbot自体も進化しています。Webサイトの大小に関わらず、脆弱なお問い合わせフォームはスパムによって攻撃される可能性があります。

被害が発生すると企業活動に甚大な影響をもたらしてしまうかもしれません。フォームのセキュリティを見直すためにも、早くスパム対策をすべきです。

ZIUS(ジウス)のホームページスタートパックなら、ホームページ作成を除いて、セキュリティの基本のキであるSSL証明書や、サーバーやドメインもついて月額2,200円でご利用いただけます。

月額1,100円の格安ホームページ作...
プラン・料金 | 月額1100円の格安ホームページ作成|HP制作会社【ZIUS】 料金 初期費用 会社設立から 1年未満限定!\割引あり/詳しくはお問い合わせください>> 33,0

新たにホームページをお考えの方は、自社のホームページだけではなくSSL証明書という「基本のセキュリティ」もお得に揃えられるこのパックを、是非ご利用ください。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

肩書:Webプログラマー兼Webライター
名前:ゆいちゃん
経歴:ライド株式会社ではコーポレートエンジニアとしてWebサイトの開発・保守・運用を行う。
   ホテルマン、総合商社で勤務していた経験から顧客との対話は大切にしている。
   IT系と育児系の情報収集が得意。
保有資格:ITパスポート
使用言語:HTML/CSS, PHP
好きな言葉:Done is better than perfect.

目次