平素は格別のお引き立てを賜り、厚く御礼申し上げます。
近年、サイバー空間におけるリスクが高まっています。ここではCMSのスタンダードとして採用されるWordPressにおけるセキュリティリスクの傾向と対策を紹介いたします。
【2024年時点直近の傾向】
- 金融系、ポイント系、決済情報を持つECサイトは特にハイリスクである
- お問い合わせフォームリフレクション攻撃(自動返信の宛先を他人にし内容にリンクなどを仕込んで送信する)が増加傾向にある。※対策は自動返信メールに本文を含めないか自動返信自体を行わない
- ドメインの乗っ取りが増加傾向にありハイリスクである
- Web APIを使用した不正が増加傾向にある
- クライアントサイドでの不正が増加傾向にある(クライアントサイドで動作するプログラムの増加に伴う)
【現時点での最善の対策例】
- サーバー管理画面やドメイン管理画面へのID、PW認証を強化する(パスワードの強化 ※最低でも12文字、大文字、小文字を入れる。多要素認証の設定)
- WordPressに多要素認証プラグインを導入する
- 脆弱性診断を実施する
- 不正検出強化、Webサイトの改ざん検知を導入する
- WAF(Web Application Firewall)/WAAPの導入、クラウドWAF(攻撃遮断くん、Scutam 他)を導入する
【Webセキュリティの理解を助ける情報・ツール】
- ECサイト構築・運用セキュリティガイドライン(経産省)
https://www.meti.go.jp/policy/netsecurity/guideforecsite.html - 中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html - 脆弱性診断導入ガイドライン
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/3bc45d3c/20220630_resources_standard_guidelines_guidelines_08.pdf - 医療情報システムの安全管理に関するガイドライン
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html - 自工会/部工会・サイバーセキュリティガイドライン
https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_01.pdf - パスワード漏洩をチェックできるサイト
https://haveibeenpwned.com/
ご不明な点がございましたら担当者までご連絡いただければと存じます。お客様におかれましても、サイバー空間のセキュリティリスクをご認識いただき、対策の強化にご理解とご協力をいただきますようよろしくお願い申し上げます。
