サイバー攻撃と聞くとどんなイメージがありますか?インターネットウィルスや悪質なフィッシング詐欺だけではありません。現実には毎月100件以上のホームページの改ざんや情報流出が起こっているのです。
そんなサイバー攻撃によって自院のホームページが改ざんされてしまうと、顧客の個人情報が流出してしまったり、自院の情報やデータが覗かれてしまうだけでなく、ホームページに訪れたユーザーにウィルスや不正プログラムが埋め込まれてしまう可能性もあります。もし、アクセスした人に被害が発生した場合は、ホームページを運営している側が責任を問われることもあるそうです。
ホームページの適切な運営は医療機関において必須となっております。ホームページの改ざんや情報流失をしてしまうと、業務に支障やはたまた損害賠償にも繋がりかねません。このようなホームページのセキュリティ対策は、ホームページを運用する側も、閲覧する側にも必要です。
本記事をご覧いただいて自院のセキュリティ対策の見直しの一環となれば幸いです。
【この記事を読むに掛かる時間:3分】
塚本 誠(つかもと まこと)/WEBコンサルタント
大阪府出身。マスコミ業界・百貨店業界を経てWEB業界に従事。関東・関西を中心に全国の医療機関のホームページ制作・運用に関わり、
年間150病院ほど訪問。名刺に使用している写真と現在の姿にギャップがあり、まずは担当者にそこのギャップから説明し始めるのが訪問時の日課。
そもそもホームページの改ざんとは、企業や病院などが運営するホームページ内のコンテンツやシステムが、悪質な攻撃者によって意図しない状態に変更されてしまう攻撃を指すとのことです。
ホームページ改ざんなどのサイバー攻撃の特徴や手法として、以下のようなパターンがあります。
●脆弱性攻撃による改ざん
・Webサーバ上の脆弱性を攻撃することにより最終的に改ざんを実現します。
・脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります
・主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。
(引用:トレンドマイクロ)
●管理用アカウントの乗っ取りによる改ざん
・Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
・正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。
(引用:トレンドマイクロ)
それらによる影響と被害
・ホームページの表示が意図しない、または運営側の意図と異なるようないたずら的なメッセージや主義主張を表す内容に差し替わってしまう。この場合はホームページを閲覧したユーザーには直接的な影響はない。
・改ざんされたホームページへのアクセスを通じて不正なプログラムやウイルスに感染する攻撃を受ける。また改ざんされたホームページにアクセスしたユーザーは自動的に他の不正なホームページへ強制的に遷移させられ、用意された悪質な不正コードにより脆弱性攻撃などが行われ、最終的には不正プログラムやウイルスに感染してしまう。
●ユーザー側の対策と予防・ユーザー側では、改ざんサイトへのアクセスを通じて不正プログラムに感染する場合に備え、対策の必要があります。
・ウイルス検出機能により不正プログラムを検出する。
・外部不正サイトへのアクセスをブロックすることにより、Web経由での不正プログラムの侵入や脅威連鎖による被害拡大を防ぐ。
・脆弱性攻撃に遭わないよう、OSや使用しているソフトウェアを常に最新の状態にする。
(引用:トレンドマイクロ)
●ホームページ管理者側の対策と予防
・Web管理者側ではサイト改ざんに遭わないための対策が必要です。
・Webサーバに総合的なセキュリティソフトを導入し、常に最新の状態にする。
・Webサーバ上のOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う。
・乗っ取りによる改ざん防止のため、Webサーバ管理用アカウントの管理を徹底する。
・Webサーバに対する不審な通信を可視化し、外部からの脆弱性攻撃やブルートフォース攻撃の発生にいち早く気づけるようにする。
・Webサーバのシステム改変監視、各種システムログ、セキュリティログの取得、およびログ監視の強化を行い、Webサーバの「異常発生」にいち早く気づけるようにする
(引用:トレンドマイクロ)
●IT管理者側の対策と予防
・エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする。
・ゲートウェイ上で不正サイトへの誘導を目的とした攻撃メールの受信をブロックする。
・ネットワーク内部から外部不正サイトへのアクセスをブロックする。
(引用:トレンドマイクロ)
色々難しいことが記載されておりますが、私から特にお伝えしたいのは黄色マーカーで引かれている部分です。医療関係者の方とお話する際に確認すると結構古いバージョンのアプリケーションやソフトをご利用されている場合が多く、脆弱性を狙われる可能性が高いので要注意かと思います。
皆さんもご自分のアプリケーションやソフトが最新バージョンになっているか常に注意しましょう。
もしかしたら皆さんの病院ホームページにも導入されているかもしれませんが、WordPressで構築しているホームページの改ざん被害が相次いでいると2017年の日本経済新聞に出ていました。(WordPressとは何かはこちらの記事をご覧ください。)
中小企業から大企業までのホームページが被害に合っている中、省庁や大学また丸川珠代五輪相のホームページまでが改ざん被害に合っていたそうです。病院のホームページも改ざんされていたようで、日本経済新聞には茨城県立中央病院や福井県立病院も掲載されていました。また2018年5月9日には神奈川県にある聖マリアンナ医科大学東横病院も何者かのサイバー攻撃を受けた事実を公表されました。
【参照】当院ホームページ不正アクセスによる外部サイトへの誘導について/聖マリアンナ医科大学東横病院
このように一度落ち着きを見せていたサイバー攻撃ですが、2017年以降被害が増加し情報漏洩の懸念はより一層の規模を増しています。その中でもWordPressの脆弱性が標的にされ、自分たちのホームページが悪質な攻撃を受ける可能性が高くなっています。
WordPressはオープンソース、つまり無料で幅広い機能を使えるCMS(コンテンツマネージメントシステム)として、世界中で利用されておりますがWordPressのバージョンの脆弱性を突かれる事例は後を絶ちません。ご利用される際には徹底した管理の元、WordPressのアップデートを欠かさない・WordPressの拡張機能(プラグイン)のアップデートを忘れない、定期的な更新を行う・ログインのID&PASSを使い回さない等の対策と予防を行うことをオススメします。
もしくは有料ではありますが、サポート体制が整った有人管理の国産CMSの導入をご検討されるのも一つかもしれません。完璧なセキュリティ対策は難しいのも事実ですが、自分たちのホームページを管理しサイバー攻撃への対策と予防を行うことが非常に大事となります。
ご自身に知識がない場合はホームページを管理する担当者や委託会社に確認してみる、また自分自身で調べてみることがセキュリティ対策への第一歩となるかと思います。皆さんもホームページの改ざんにはご注意ください。