この数年でマルウェアの感染被害は急激に拡大しており、大きな損害につながった企業も少なくありません。Webサイト運営にマルウェア対策は必須といえるでしょう。
マルウェア対策は、想定される被害と感染経路を把握して早めに対処することが重要です。
この記事ではWebサイトのマルウェア被害や対策について詳しく解説します。感染したときの対処法も合わせてご紹介するので、ぜひご活用ください。
目次
1.Webサイトでよくあるマルウェア被害
マルウェア対策の第一歩は、どのような被害があるのか把握することから始めましょう。Webサイトのマルウェア感染では主に以下のような被害が報告されています。
- PCの動作や起動の異常
- 覚えのないメール送信やポップアップ表示
- データの消失・改ざん・破壊
- 機密情報の流出・悪用
- 他のPCやシステムへの感染拡大 など
これらは業務の妨げになることはもちろん、個人情報や顧客情報の漏洩ともなれば社会的信用を失う恐れもあります。さらに、復旧作業や賠償問題で大きな損失が出るケースも想定できます。
そういった被害が出る前に、感染しにくい体制を整え、万一感染した場合は被害を最小限にとどめる準備をしておくことが大切です。
2.Webサイトに必要なマルウェア対策とは
webサイトのマルウェア対策は感染経路をできる限り減らすことと、侵入をいち早く察知する監視が基本です。以下のような複数の対策を同時に実行しましょう。
サーバーのセキュリティポリシーの確認
利用するサーバーがマルウェアに感染し、そこから侵入される恐れがあります。特に安価で誰もがアクセスできるクラウドサーバーやレンタルサーバーは狙われやすいため、事前にセキュリティポリシーをよく確認しましょう。
OSやアプリケーションの更新
OSやアプリケーションを最新バージョンに更新すると脆弱性が改善できます。日々新しくなるマルウェアに対抗するには、その対策が盛り込まれた最新プログラムが必要です。更新されたらなるべく早く適用しましょう。
不要なアプリやサービスの削除
サーバー上に脆弱性が残る古いサービスやアプリを放置していると、そこからマルウェアに侵入されることがあります。定期的に使用状況を確認して不要なものは削除しましょう。
アカウント管理の徹底
誘導や乗っ取りの窓口になりやすいアカウントはアクセス制限を設けて管理を徹底します。特に不特定多数のアカウントを受け付けるタイプのWebサイトはリスクが高いため対処は必須です。また、テスト配信などのアカウントも忘れずに削除しましょう。
アクセス制限の設置
Webサイトの設定情報や個人情報、非公開ファイルをのぞかれる事例も増えています。重要な情報のファイルやディレクトリへは、インターネットから侵入できないようにアクセス制限をかけましょう。
サーバーログの確認と保管
不審な動きをいち早く発見するためにサーバーログを定期的に確認するのも重要です。Webサイトへのアクセスやアプリケーションの挙動、データベース操作などのログを取得し、保管しておきましょう。異常があった際の原因究明にも役立ちます。
セキュリティ対策ツールの導入
手作業でのマルウェア対策には限界があります。自社サイトに適したセキュリティ対策ツールを導入しましょう。Webサイトの脆弱性検査、侵入防止、侵入や攻撃状況の把握、ソフトウェアによってはマルウェアの駆除まで可能です。
社内ルールの構築と周知徹底
マルウェアは何気なく持ち込んだUSBやメールの1クリックからでも入り込みます。マルウェア対策は社内ルールとして、すべての従業員に周知徹底できる体制づくりが大切です。
社内でセキュリティルールを設定する際のポイントは「【社内向け】セキュリティ意識を高めるルールの策定方法を解説」にて解説していますので、そちらも
3.マルウェア対策は感染時の対処法まで考える
いくら対策をとってもマルウェアを完全に防ぐのは難しいものです。マルウェア対策は、感染した場合を想定して最小限の被害に抑える対処法まで考えて備えましょう。
マルウェアに感染した際は以下の手順で対処します。
<マルウェア感染時の対処法>
- 感染したPCをネットワークから遮断
- 感染したサービスの停止
- セキュリティベンダーへの分析依頼
- 感染経路の特定
- すべてのPCのマルウェア駆除または初期化
感染拡大を防ぐには「ネットワークからの遮断」のスピードがカギを握ります。感染時の対処法は対策と合わせて全社員に周知しておくと安心です。
また、マルウェアの分析や経路特定、駆除などは専門知識が必要な場合もあります。早い段階でセキュリティ担当者やベンダーに連絡し、対応を依頼しましょう。
4.Webサイトのマルウェア対策は保守サービスが便利
日々進化するマルウェアに万全に備えるのは、よほど詳しい担当者でないと難しいのが現状です。また、他の業務と並行しながら十分な対策をとるのは難しいという担当者も多いと思います。
Webサイトの保守は外注でプロに任せるのもひとつの方法です。
保守サービスは高いと思われがちですが、実際のメリットや費用をみてみると十分検討の余地があると分かります。
マルウェア対策を外注するメリット
- 専門知識がなくても常に最新の対策がとれる
- 定期的に脆弱性をチェックできる
- マルウェア感染時の特定や対処を任せられる
- コンテンツ管理やSEO対策も同時に行える
- 対策コストの削減につながる
保守サービスはマルウェア対策を万全にするだけでなく、感染時はシステム関連の対応をすべて任せられるため、Web担当者は社内や顧客の対応に集中し、より早い復旧が可能になります。
保守サービスの費用は月額3万円程度からです。業務委託による担当者の業務効率アップや自社で感染に対処する場合の復旧コストを考えると、コストパフォーマンスは決して悪くありません。
保守サービスの内容と費用の例
| ECマーケティング | A社 | B社 | |
| 費用 | 3万円/月 (初期10万円) | 5万円~/月 (初期25万円~) | 5万円/月 (初期3万円) |
| 他社制作サイトの保守 | 〇 | × | × |
| サイト死活監視 | 〇 | × | × |
| コアアップデート | 〇 | 〇 | 〇 |
| プラグインアップデート | 〇 | × | 〇 |
| 定期バックアップ | 〇※1 | × | 〇 |
| バックアップからの復元 | 〇 | 〇 | △ |
| 検証環境 | 〇 | 〇 | △ |
| 改ざんチェック | 〇 | × | 〇 |
| セキュリティ強化 | ◎※2 | × | × |
| 脆弱性スキャン | 〇 | 〇 | 〇 |
| メールサポート | 〇 | 〇 | 〇 |
| 月次レポート | 〇 | × | × |
| サーバ保守 | △ オプションあり | × | × |
| WPカスタマイズ・速度アップ | △ オプションあり | ‐ | ‐ |
| GTM・GA4設定代行 | △ オプションあり | ‐ | ‐ |
※1 全体は週次、データベースは日次、7世代
※2 ログインURL変更、WAF導入、不正アクセス検知を含む
月額費用と初期費用のバランスやサービス内容に各社特徴があるため、自社の運用方法や予算に適したプランを選びましょう。
各社に共通する保守サービスの内容は、コアアップデート・バックアップからの復元・検証環境・脆弱性スキャン・メールサポートの5つですが、より手厚い保守を受けたい場合は株式会社ECマーケティング「WordPressまるごとおまかせ」保守サービスがおすすめです。
5.まとめ
Webサイトのマルウェア被害は年々増加しており、対策は必須です。情報の漏洩や改ざん、消失など大きな損失や信用の失墜につながるリスクにしっかりと備えましょう。
ただし、サイトのマルウェア対策は、OSやアプリの更新、アカウント管理、アクセス制限、サーバーのセキュリティ確認やログの保管など多岐にわたります。また感染時に備えて、対処法まで含めた社内ルールを構築し、周知する必要もあります。
専門的な知識や膨大な作業を必要とするサイトの保守は外注するのも一つの手です。常に万全な対策がとれる上、コストパフォーマンスも悪くありません。この機会にぜひ検討してみてはいかがでしょうか?
