あなたのWEBサイトは大丈夫? 不正アクセスを防ぐセキュリティについて

こんにちは、デザイナーの寺島です。
ここ数年で話題に挙がる機会が一気に増えたWEBサイトのセキュリティについてお話したいと思います。

昨今、WEBサイトに関する被害――アカウントの乗っ取り、情報漏洩、WEBサイトの改変など――の事例が目立ちます。
10年、20年前から事例はありましたが、規模や被害数が加速度的に増えたことで注目度が増して、多くの人に知られるようになりました。
サイバーセキュリティに関する情報を掲載している『サイバーセキュリティ.com』では、個人情報の漏洩のみに絞って年度別に分かりやすく事例がまとめられています。
参考ページをざっと見ていただくだけでも分かりますが、個人情報やクレジットカード情報が数千から数万、時には100万件を超えるほどの大規模な情報漏洩が毎月のように起きています。
『漏洩原因』の項目を見ていただくと様々な名称が並んでいますが、この中の『不正アクセス』について少し触れます。

語弊があるかもしれませんが、不正アクセスを簡単に表現すると『第三者がWEBサイトの管理画面に入る行為』です。
例えばtwitterやFacebook、ショッピングサイトなど、多くのネットサービスの利用にはアカウントが必要となります。
大抵、アカウントは『ID』と『パスワード』の組み合わせになっており、WEBサイトの中にIDとパスワードを入力する『ログイン画面』があります。
ログイン画面が無いように見えるWEBサイトでも、一般の方には知られていないだけでログイン画面を持っていることは珍しくありません。

IDとパスワードの組み合わせはネットで行う本人確認の方法として最も手軽で普及している方法です。
基本的にはIDとパスワードは本人が文言を決めて使用しています。
普通は自分自身が作った組み合わせなので、ログインが成功すればネットサービス側は本人と認識するわけです。
ですが言い方を変えればIDとパスワードさえ手に入れば、他人でも本人であるかのようにネットサービスを使えてしまいます。

#パスワードを書き換えて本人がログインできないようにする。
#WEBサイト内の様々な情報を故意に流出させて大規模な損害を起こす。
#入手した情報を転売する、迷惑メールを送るなど悪用する。

ID、パスワードを揃えればこれだけのことが、あえて書かなかったもっと酷いことも現実になります。
今はWEBサイト内で全ての情報を管理することが珍しくありません。
大量の顧客情報だけでなく、クレジットカード情報まで漏洩してしまえば、直接的な金銭問題にまで被害が拡大します。

不正アクセスの手法として様々なものがありますが、IDとパスワードを総当たりで試すなどの手段で不正入手してログインされるケースが多いです。
その為、IDやパスワードを一工夫すれば不正アクセスの危険を下げることができます。
簡単かつすぐにできるものとしては、ログインで使用するIDやパスワードを『複雑』『長く』することです。
具体的には半角英数字(できれば記号も交えて)の意味のない組み合わせで8桁以上にするのがオススメです。間違っても意味のあるスペルやローマ字読みにはしないことです。
分かりやすいということは他人に読まれやすいことを意味します。
また、パスワードは1桁増えるだけでも解析に掛かる時間が数時間、数日、数年と加速度的に増えるので最低8桁、できれば12桁あれば普通の手段では解析される危険がグッと減らせます。

弊社でもこうした危険性は認識しているので、お客様のサイトではパスワードを複雑化したり、ログインページに特殊な仕組みを入れて不正アクセスを行う機会自体を作らせないなど対策をしています。
こうした対策が機能しているからか、幸いなことに弊社で管理を代行させていただいているWEBサイトが不正アクセスの被害にあったというお客様はおりません。

昔よりずっと道具や環境が発展したことでネットに触れる敷居が下がりました。
しかし、敷居が下がると忘れがちなのが安全面のこと。
ネットで行われる最も簡単なIDとパスワードを使った個人認証は、色んなサービスで必要となりますが、それに対する安全意識が低い場合のしっぺ返しはあまりに大きいものです。
ただ、ほんの少し知識を身につければ減らせる危険があります。
是非一度お使いのパスワードを見直していただければと思います。

ビーズクリエイト(株式会社唐澤農機サービス インターネット事業部)
〒389-0512 長野県東御市滋野乙3012-1 TEL:0268-71-0090

>>制作実績はこちら

寺島

この記事を書いた人: 寺島

ビーズクリエイトで主にディレクション・コンサルティング・分析等を担当しています。

あわせて読みたい