サイトがどのように侵害されたかを把握することは、攻撃からサイトを守るうえで重要です。このページでは、サイトの侵害につながる可能性があるセキュリティの脆弱性について説明します。
次の動画では、さまざまな種類のハッキングと、ハッカーがサイトを乗っ取る方法について概説しています。
パスワードの不正使用
攻撃者は、正しいパスワードを推測するまで別のパスワードを試すことで、パスワードを推測できます。パスワード推測攻撃は、一般的なパスワードを試す、パスワードが見つかるまで文字と数字のランダムな組み合わせをスキャンするなど、さまざまな方法で行われる可能性があります。これを防ぐため、推測されにくい安全なパスワードを作成してください。 Google のヘルプセンター記事で安全なパスワードを作成するためのヒントをご確認ください。
覚えておく必要がある重要な点が 2 つあります。まず サービス間でパスワードを 使い回さないことが重要です有効なユーザー名とパスワードの組み合わせが特定されると、攻撃者は可能な限り多くのサービスでユーザー名とパスワードの組み合わせを使用しようとします。したがって、サービスごとに異なるパスワードを使用すると、他のサービスの別のアカウントが不正使用されるのを防ぐことができます。
次に、Google 2 段階認証プロセスなどの 2 要素認証(2FA)を利用する(使用可能な場合)2 要素認証では、ログイン認証情報の第 2 層を、通常はテキスト メッセージ コードやその他の動的に生成される PIN を使用して許可します。これにより、攻撃者は盗まれたパスワードだけでアカウントにアクセスできなくなります。一部の CMS プロバイダでは、2FA の設定に関するガイダンスが提供されています。詳しくは、Joomla!、WordPress、Drupal。
適用されなかったセキュリティ アップデート
以前のバージョンのソフトウェアは、攻撃者がサイト全体を侵害するリスクの高いセキュリティの脆弱性の影響を受ける可能性があります。攻撃者は脆弱性のある古いソフトウェアを積極的に探し、サイトの脆弱性を無視すると、サイトが攻撃される可能性が高まります。
更新しておくべきソフトウェアの例:
- ウェブサーバー ソフトウェア(独自のサーバーを運用している場合)。
- コンテンツ マネジメント システム(CMS)。例: WordPress、Drupal、Joomla! のセキュリティ リリース。
- サイトで使用するすべてのプラグインとアドオン。
安全でないテーマとプラグイン
CMS のプラグインやテーマは、有用な拡張機能を追加します。ただし、古いテーマやパッチが適用されていないテーマやプラグインは、ウェブサイトの主な脆弱性の原因となります。サイトでテーマやプラグインを使用する場合は、常に最新の状態に保つようにしてください。デベロッパーが管理しなくなったテーマやプラグインを削除する。
信頼できないサイトから提供される無料のプラグインやテーマには細心の注意を払ってください。有料のプラグインやテーマの無料版に悪意のあるコードを追加する行為は、攻撃者がよく用います。プラグインを削除するときは、単に無効にするのではなく、すべてのファイルをサーバーから削除してください。
ソーシャル エンジニアリング
ソーシャル エンジニアリングとは、人間の性質を利用して高度なセキュリティ インフラストラクチャを回避する手法です。この種の攻撃は、承認されたユーザーをだまして、パスワードなどの機密情報を提供させます。ソーシャルエンジニアリングの 一般的な形式の一つにフィッシングがありますフィッシング攻撃では、攻撃者が正当な組織を装ったメールを送信し、機密情報を要求します。
リクエスト元の身元が明らかでない場合は、機密情報(パスワード、クレジット カード番号、銀行口座情報、生年月日など)を絶対に開示しないでください。サイトを複数のユーザーによって管理している場合は、ソーシャル エンジニアリング攻撃に対するセキュリティ意識を高めるためのトレーニングを実施することを検討してください。フィッシングに対する基本的な保護のヒントについては、Gmail ヘルプセンターをご覧ください。
セキュリティ ポリシーの欠点
システム管理者や独自のサイトを運営している場合、質の低いセキュリティ ポリシーを使用すると、攻撃者がサイトを侵害する可能性があることを覚えておいてください。以下にいくつか例を示します。
- ユーザーが脆弱なパスワードを作成できるようにする。
- 管理者アクセスを必要としないユーザーに権限を付与する。
- サイトで HTTPS を有効にせず、HTTP を使用してログインできるようにする。
- 認証されていないユーザーによるファイル アップロード、またはタイプ チェックのないファイルのアップロードを許可する。
サイトを保護するための基本的なヒント:
- ウェブサイトで不要なサービスを無効にして、高度なセキュリティ管理が構成されるようにします。
- アクセス制御とユーザー権限をテストする。
- 機密情報を扱うページ(ログインページなど)では暗号化を使用します。
- 不審なアクティビティがないか定期的にログを確認します。
データ漏えい
機密データがアップロードされ、構成ミスによってその機密情報が一般公開されると、データ漏洩が発生する可能性があります。たとえば、ウェブ アプリケーションのエラー処理とメッセージングでは、未処理のエラー メッセージの構成情報が漏えいする可能性があります。悪意のある人物が「ドーキング」という手法で検索エンジンの機能を悪用して、このデータを見つけることがあります。
定期的にチェックを行い、セキュリティ ポリシーを使用して機密データを信頼できるエンティティに制限することで、サイトから未承認のユーザーに機密情報が漏洩しないようにしてください。サイトに表示されている機密情報が Google 検索の検索結果からすぐに削除する必要がある場合は、URL 削除ツールを使用して Google 検索から個々の URL を削除できます。