キャッシュマネージメントシステム

2022 4/17

2022-05-21

iPadからも編集できる

オープンソースCMS使用なら要注意！Webサイト改ざんの恐怖

HTMLなどのWebに関する専門的な知識がなくても、サイトの制作・更新を可能にする CMS（Content Management System / コンテンツマネジメントシステム）。 CMSの導入により初心者でも自分たちで簡単にサイトを更新できるようになるので、ターゲットに向けたタイムリーな情報発信ができたり、SEO（検索エンジン最適化）対策を効率的に行うことができるようになります。
ホームページ活用に積極的に取り組みたい企業には必須のシステムです。

そんなCMSは、大きく分けるとオープンソースCMSと商用パッケージCMSに分類されます。

オープンソースCMSはプログラムのソースコードが一般に公開されており、商用・非商用問わず、誰でも利用や修正（改変）、さらには配布することができます。無償で利用することができ、豊富なプラグインを活用してさまざまな機能を追加できるため、世界中で多く使われています。
ただし、たいていのオープンソースCMSは ミッションクリティカルな商用環境での利用を想定しておらず、プログラム自体の不具合や脆弱性対応については、利用する側の自己責任 となります。

＜代表的なオープンソースCMS＞

なかでも、WordPressは、日本国内で利用されているCMSのシェアのうち83.5%を占め（W3Techs.com調べ）、圧倒的シェアを持っていることが分かります。

なぜオープンソースCMSは攻撃を受けやすいのか

オープンソースCMSは、セキュリティに不安があるとされているのはなぜ なのでしょうか？その理由を見ていきましょう。

■ソースコードが公開されているので、悪意のあるユーザーが脆弱性を発見しやすい キャッシュマネージメントシステム
→システムの基礎となる設計図（＝ソースコード）が誰でも入手できるので、中身を分析して弱点を発見してしまう

■豊富なプラグイン（拡張機能）が存在するので、サイバー攻撃の入口が多くできてしまう
→プラグインはCMS本体とは別に脆弱性を抱えているので、サイバー攻撃の突破口として利用されやすい

■ユーザーが多いことで攻撃手段が開発されやすくなる
→利用しているサイトが多いほど狙うターゲットが増え、新たな脆弱性や攻撃手法の開発がされやすい

オープンソースCMSが狙われてしまうポイントは 脆弱性 キャッシュマネージメントシステムです。セキュリティホールとも呼ばれ、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを指します。このような脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。オープンソースCMSの代表格であるWordPressも同様です。

しかし、更新プログラムの適用だけでは残念ながら安心できません。
脆弱性が発覚してから更新プログラムが提供されるまでのタイムラグを狙った攻撃（Zero Day攻撃）の危険性があります。
また、オープンソースCMS本体のアップデートだけでは、プラグインの脆弱性は解消されません。複数導入されたプラグインに対して、一つひとつ安全性を確認する作業は膨大で困難を極めるでしょう。
また、CMS本体をアップデートした際にサイトの表示が崩れるなどの不具合が起こる可能性も。そういった面のケアをしながらCMSのアップデートをしていくのは、 Webの知識と時間の余裕がないと難しく、「最新バージョンのCMSをあえて使わない」というケースも散見 されます。

では、この脆弱性を狙われるとどんな被害が考えられるのでしょうか？
一番の脅威は Webサイトの改ざん です。

Webサイトの改ざんの脅威とは

Webサイト改ざん とは、Webページのコンテンツを書き換えたり、不正プログラムを組み込んだりする攻撃のことです。
ホームページを持つ企業であれば、規模や知名度に関係なく、いつ、Webサイト改ざんの標的になっても不思議はありません。

＜Webサイト改ざんの具体例＞

①ホームページのデザインや内容を変えられてしまう
サイト上の画像や文字を変えられてしまう、意図しない広告が表示される、など。
目で見て分かる被害なので発覚しやすく、サイトを閲覧した方に不快な思いをさせてしまい、企業ブランドの低下を招きます。

②スパム送信の踏み台になる
自社では設定していないにもかかわらず、自社のアカウントから関係者に大量の迷惑メールが発信されてしまう、など。
スパムメールを受け取った方から連絡が来て初めて発覚するケースが多く、企業の信頼度が下がります。

③ウイルスを埋め込む、詐欺サイトへ強制的にリダイレクトさせる
埋め込まれたウイルスやマルウェアにより閲覧した方がウイルスに感染、詐欺サイトに飛ばされる、など。
目に見えない改ざんで危険性が高く、 ユーザに実害が出てしまった場合は賠償責任になる可能性も。

④お問い合わせなどの入力フォームの改ざん
ユーザーが入力した個人情報やクレジットカード番号が勝手に外部へ送信されるなど、深刻な情報漏えいにつながる恐れも。
個人情報の流失は、企業の社会的信頼度を著しく低下 させます。

これだけの被害をもたらすWebサイト改ざんには、しっかりと対策を講じていく必要があることが分かったかと思います。

Webサイトの改ざんへの対策

このように、 オープンソースCMSは導入の手軽さと利便性の一方で、常にセキュリティリスクがあります。 オープンソースCMSの脆弱性から自社のユーザーやお取引先、関係者まで巻き込んで被害を生む可能性があるWebサイト改ざんを発生させないようにするためにはどうしたらいいのでしょうか？

①商用パッケージCMSの利用を検討する
更新プログラムやセキュリティパッチを確実に用意してくれる上、公式サポートが受けられるので、万が一のトラブル発生時でも安心です。
オープンソースCMSのシェアが高い今は、相対的にサイバー攻撃のターゲットにされにくくなります。

②脆弱性対策をより万全にする
基本的なセキュリティ対策の他に、 改ざん検知システムの導入、WAF（Webアプリケーションファイアウォール） を導入する

ただし、こういった対策はパソコンやWeb関係に長けた人材が少ない企業では、なかなか検討もままならないことでしょう。
そういう時に助けになるのが、ホームページ制作会社などへの委託です。
ホームページ制作会社は、制作のみならず、セキュリティ対策を代行してくれるところもあります。また、Web制作会社のWebサイトをチェックして、必要なセキュリティ対策の提案や手配、CMSの選び方や導入もサポートできるか、確認してみましょう。
ホームページ制作会社を選ぶ際は、Webサイトを取り巻く環境整備も含めて任せられる会社を選ぶ方が安心 だと言えるでしょう。

5分で理解「CMSとは何ができる？」種類＆目的別選び方を解説！

CMS, content management system. Concept with keywords, letters and icons. Colored flat vector illustration. Isolated on white background.

【最新SEO】Core Web Vitals（コアウェブバイタル）とは？をわかりやすく解説します(2021)

モバイル検索の検索順位を決める要素の一つとして、Googleが2021年5月開始を予定しているのが「Core Web Vitals」です。利用者がWebサイトの利用で得られる体験や知識は重要（vital）ですが、特に中心的（Core）なものとして3つ指標にまとめられています。「Core Web Vitals」は検索結果 […]

西山一郎

【わかりやすい】常時 SSL 化とは？未導入の問題点、有料のSSL証明書選択と導入方法

西山一郎

この記事を書いたライター

企業の広報担当者として10年間Webサイトの運営経験を活かし、
現在ライター兼Webデザイナーとしてフリーランスで活動中。
カゴヤ・ジャパンの他、GMOインターネットやGMOグローバルサイン・HD向けに、WordPressやインターネットに関連する記事を寄稿。
Webサイト運用で発生するさまざまな業務を幅広く実施し、成功例ばかりでなく失敗例が記事の作成に活きている。
企業での情報セキュリティの認証取得経験があり、リスクと利便性のバランスを考えた仕事を心がけている。

Ver.3 リリース！

a-blog cms は、Web制作に関わる全ての人にとって安心・安全な環境で情報発信が可能なCMSです。
プログラムを書くことによるセキュリティリスクを排除し、生産性の向上を支えます。

公開事例 0000 件販売実績 0000 件

プログラムなしで会員制サイトを構築できる

さまざまな補助機能とともにフォーム機能が標準搭載

テンプレートにキャッシュマネージメントシステムロジックを持ち込まない

a-blog cms のカスタマイズでは独自のテンプレート記法を採用しており、テンプレートにプログラムのロジックを持ち込みません。
これにより、PHPなどのプログラムを書くことによるセキュリティリスクを排除し、HTMLと独自のテンプレート記法を使ってWebサイトを自由に構築できます。

Drupal(ドゥルーパル)というCMSを知っていますか？

私は大学図書館システム関係の仕事をして、初めてDrupalに出会ったのが2年前となります。 キャッシュマネージメントシステム
2年前に大学図書館のホームページにDrupalを採用することになり、いろいろと勉強しながら導入しました。その機会が縁で、現在に至っています。
その時に構築したサイトが九州大学附属図書館様のページです。
Drupal自体は、高機能で沢山のモジュール（プログラム)があります。また、これまでWebシステムを開発していた経験から比較して、Drupal上で独自にモジュールを開発することの容易さにも驚きました。特に苦手だったデザイン部分についてはDrupalに任せられるという点がよかったです。

Drupalは使われているのでしょうか？

ホワイトハウス NASA

国内のサイト (*レスポンシブ対応)

Drupalは、ドゥルーパルと発音してマスコットキャラとしてドゥルーパリコンというマスコットがいます。マスコットを３年ぐらい見ると、かわいく感じるようですよ。

公式サイトdrupal.orgがあり、こちらで世界中の開発者が日々コミュニケーションを取りながらモジュール開発、障害対応などが行われています。アメリカでは、Drupalを専門に扱う会社や技術者が多くあり、普及していると言えます。
また、コンテンツ・マネジメント・システム(CMS)というとホームページ作成ツールという認識の人が多いかもしれませんが、ホームページ作成はもちろんのこと、プログラムを実行するアプリケーションのプラットフォームという位置づけもあります。
ホームページだけ手がけるわけではなく、Drupal上で業務システムを開発して利用するケースもあります。一から開発するよりもより速く・安全に、そしてデザイン性もよく開発できると思います。

ここで、Drupal上で開発する場合の名言を一つ紹介します。それは、「Coreをハックするな！」ということです。
Drupalシステムの本体部分をCoreと言います。Drupalのインストール時にダウンロードした全体のファイルと理解してもらってもよいと思います。Drupalは、このCoreな部分とモジュール、テーマが完全に分離されたシステムです。
そのCoreの部分をカスタマイズや改変しないようにという意味です。
例えば、セキュリティ対策はCoreな部分で面倒を見ていますので、開発するプログラムでは基本考慮が不要です。Drupalの障害や脆弱性の問題があった場合Coreのファイルを上書きするだけで環境が安全に保たれます。

Drupalコミュニティの活動

Drupal Associationという団体が、Drupalの普及に貢献しています。
公式的にフリーウェアのDrupalをサポートする団体です。今年は140万ドルの資金集まりDrupal新バージョンの8では、世界的にバージョン8のキャンペーンを実施して、より普及に力を入れるようです。
もう一つの主な活動としては、Drupalcon(ドゥルーパルコン)というDrupalを扱う人達が集まってのイベントがあります。年2回、アメリカとヨーロッパで開催されています。

どうして日本でDrupalは聞かれないのでしょうか？

私も出席して出席者の人達と話したのですが、Drupalを扱う会社さんが複数あり、個人ベースではなく会社で対応されているということがわかりました。
また、日本のDrupalグループのサイトがあり、勉強会や気軽なミーティングなどが定期的に開催されていることがわかります。Drupal Camp Japanは、今年は夏に大阪、冬に東京で開催される予定です。ぜひ、みなさんも参加してみてください。

最後にDrupalのバージョン 8について

バージョン8はDrupal Camp Japanでの発表もありましたが、まだリリースされていません。クリティカルな障害がまだ収束しておらず、リリースには数ヶ月以上かかるようです。

管理画面によるレイアウト変更対応。管理画面自体もレスポンシブデザインになります。ちょっとした変更をスマートフォンでも編集できますね。
各種設定内容がこれまでデータベースに登録されていましたが、ymlのファイルで管理されます。これにより、データベース負荷やメモリ使用量が減りパフォーマンスがより上がります。
ページの完全な多言語対応。これはDrupal 7 でも各種モジュールをインストールすることで対応可能ですが、Coreに組み込まれました。
Drupal 7で開発したモジュールは、8では変更が必要とのことです。

株式会社アイキュームの井村です。Drupalを使ったソリューションやこれまで培ったApache Solr+Pythonの検索系のシステムを主に手がけています。 Drupalに出会い、その可能性に驚きました。Drupalを使ったソリューションを日本で展開し、広まればと思っています。