「ホームページはあるが、作ったのは5年以上前。作った業者に任せたきりで、 誰も触っていない」——中小企業や団体では、ごく普通の状態です。
「古くても、会社の紹介が載っていれば十分」と思われがちですが、 放置されたホームページの本当の問題は、見た目ではなくセキュリティです。 更新が止まったサイトは、看板のつもりが、 攻撃者にとっての「鍵のかかっていない裏口」になっていきます。
なぜ「置いてあるだけ」のサイトが危ないのか
多くの中小企業のサイトは WordPress(サイトを管理・更新するための プログラム)で作られています。世界のサイトの4割以上が使う定番で、 WordPress自体が悪いわけではありません。
問題は、WordPressやその部品(プラグイン・テーマ)がソフトウェアであることです。 ソフトウェアには後から欠陥(脆弱性)が見つかり、修正版が配布されます。 更新されないサイトは、公表済みの欠陥を抱えたまま、インターネットに 公開され続けていることになります。
そしてランサムウェアの記事で書いたとおり、 攻撃者は狙う相手を選びません。古いWordPressを探すスキャンは完全に自動化されていて、 会社の規模も知名度も関係なく、欠陥のあるサイトは機械的に発見されます。 「うちのサイトなんて誰も見ていない」は防御になりません。 見ているのは人間ではなく、プログラムだからです。
乗っ取られたサイトはこう使われる
放置サイトが改ざんされたとき、起きるのは「ページが落書きされる」ような 分かりやすい被害だけではありません。むしろ、見た目は何も変わらないまま 悪用されるケースが大半です。
- 偽サイトの置き場にされる: 自社サイトの中に、銀行やECサイトを装ったフィッシングページを勝手に設置され、詐欺の道具になります
- 迷惑メール・攻撃の踏み台にされる: 自社のサーバーから大量の迷惑メールや攻撃通信が送られます
- 訪問者にウイルスをばらまく: サイトを見に来た顧客や取引先を、ウイルス配布サイトへ転送します
- 検索結果が乗っ取られる: 会社名で検索すると、怪しい海外通販のページが出てくるようになります
共通するのは、被害者が自社ではなく「自社サイトを信じた第三者」になることです。 発覚の経路も「セキュリティ会社や警察からの連絡」「取引先からの指摘」 「Googleの警告表示(このサイトは安全でない可能性があります)」など外部からで、 そのときにはもう、社名で検索した人全員に警告画面が出ている—— つまり信用の損失が先に起きています。
さらに、サイトのサーバーにお問い合わせフォーム経由の顧客情報が溜まっていた場合は、 個人情報の漏えい事案にもなり得ます(漏えい時の義務は 個人情報保護法の記事で解説しています)。
自社サイトの健康チェック(社内でできる範囲)
専門知識がなくても、次の確認で「放置度」の当たりを付けられます。
- 管理画面に入れるか: WordPressの管理画面のURL・ID・パスワードを社内の誰かが知っているか。入れないなら、更新もバックアップも何もできない状態です(業者との関係の確認とセットでどうぞ)
- アドレスが
https://で始まっているか: いまだにhttp://のままなら、通信が暗号化されておらず、ブラウザに「保護されていない通信」と警告が出ています。放置のバロメーターでもあります - 最終更新日: お知らせ欄の最新記事が数年前なら、プログラム側の更新も止まっている可能性が高いです
- 管理画面に入れる場合: ダッシュボードに「更新があります」の通知が溜まっていないか、WordPress本体のバージョンが古くないか、見覚えのない管理者ユーザーが追加されていないかを確認します
site:自社ドメインで検索する: Googleでsite:example.co.jpと検索し、自社が作った覚えのないページ(外国語の通販ページ等)が出てこないか確認します。出てきたら、すでに改ざんされています
対処の選択肢
すでに改ざんの兆候がある場合
サイトの公開を一時停止(サーバー会社に依頼可能)した上で、 専門家による調査と駆除、全パスワードの変更が必要です。 「怪しいページだけ消して様子見」は、裏口(バックドア)が残るため再発します。
無事だが、更新が止まっている場合
現実的な選択肢は3つです。
- 保守運用を再開する: WordPress・プラグインの定期更新、バックアップ、不正監視をセットで。自社でやるなら「月1回の更新日」を決める。外注するなら、その作業が保守契約の中身に明記されているかを確認してください
- 仕組みごと乗り換える: 更新の手間自体をなくす選択です。ページ数が少ない会社案内サイトなら、プログラムの更新が不要な作り(静的サイトやホームページ作成サービス)に乗り換えると、この問題から半永久的に解放されます
- やめる: 役目を終えたサイト(昔のキャンペーンサイト、旧事業のサイト)は、置いておくだけリスクです。閉鎖し、ドメインの扱いを決めます
やってはいけないのは「何も決めずにこのまま」です。 放置サイトのリスクは、時間とともに単調に増えていきます。
まとめ
- 更新が止まったWordPressサイトは、公表済みの欠陥を抱えたまま公開されている状態
- 改ざんの被害者は自社ではなく「自社サイトを信じた第三者」。つまり信用問題
- まず管理画面に入れるか・
site:検索・httpsの3点を確認する - 「保守を再開する」「更新不要の仕組みに乗り換える」「やめる」のどれかを選ぶ
「管理画面に入れるかどうかから分からない」「保守にいくら払うのが適正か 判断できない」という場合は、サイトのURLと分かる範囲の契約状況を添えて 無料相談からどうぞ。現状の確認だけでも意味があります。