無料でできるホームページ脆弱性チェック

無料でできるWebセキュリティ対策とは

「Webサイトから個人情報が流出！」「ホームページの改ざんが発覚！」といったニュースは後を絶ちません。

Webサイトで最も多いマルウェアはガンブラーです。ガンブラーはJR東日本や本田技研工業など、数多くの企業や政府ホームページにも感染しています。見た目には全く変わらずに、ウィルスへ感染するためのスクリプトが埋め込まれたり、悪意あるホームページへ強制的にジャンプしたりと、２次被害・３次被害と拡大してしまう可能性があります。

社外に不正な通信があるときは情報漏洩の可能性がある

ウイルス感染が発覚してから原因調査をした結果、1年以上前から海外へ不正な通信を発していたケースもあります。
＊弊社代表が撮影協力を行いました。
引用元：https://www.nhk.or.jp/ohayou/digest/2019/11/1127.html

会社のホームページが感染してしまうと、そのホームページを見たお客様のPCが感染してしまったりと、会社の信用を失ってしまうことも考えられます。 2009年に大流行してテレビ等のメディアで話題になり、その後やや下火になったのですが、昨年から新種が続々とあらわれて、また猛威をふるっています。今すぐ、会社のホームページが安全かをチェックしましょう。

今すぐ確認！ホームページの安全性チェック

gred
無料でできるホームページのセキュリティチェックの１つに、gredがあります。セキュリティチェック会社のセキュアブレイン社が、有料サービスの一部を無料で公開しています。
http://check.gred.jp/
使い方は簡単です。フォームにホームページのアドレスを入力して「CHECK」ボタンをクリックするだけです。

VirusTotal
VirusTotal は、無料のマルウェアチェックサービスです。ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。
Hispasec社が開発し、現在はGoogleが買収して運営を行っています。
https://www.virustotal.com/ja/

万が一上記のVirustotal等のツールで「MaliciousSite」と表示されたらこちらまでご相談ください。

これで安心！常に監視してくれる無料ツール

万が一Webサイトがウィルス・マルウェア感染した場合に、発見が遅れれば遅れるほど被害を拡大させてしまいます。企業のホームページでは信用問題に関わります。
ここでご紹介するのは常時マルウェア感染を監視してくれる無料ツールのGoogle サーチコンソールです。
https://support.google.com/webmasters/answer/34397?hl=ja&ref_topic=3309469

本来サーチコンソールは、ホームページが検索エンジンに正しく登録されているかどうかを確認するためのツールなのですが、その中にセキュリティに問題がないかを確認してくれるメニューがあります。
https://support.google.com/webmasters/answer/163634?hl=ja

そしてサーチコンソールにはメッセージをメールで通知する機能がありますのでメール通知をオンにしておくと、ホームページのマルウェアを検知した場合、メールで報告してくれます。
http://googlewebmastercentral-ja.blogspot.jp/2012/10/keeping-you-informed-of-critical.html

感染しても見た目には全く変わらないため、気付かずに発見が遅れるといったことを防いでくれます。

いずれも無料で利用できますので、安全なホームページの運用のためにもこれらのツールを活用しましょう。

今後不正アクセスを防ぐには？？

マルウェアに感染しているかどうかについては、上記無料ツール等でチェック可能ですが、この先も感染しないように、自社Webサイトに脆弱性が無いかどうかを確認する為には、最低限下記項目の診断が必要となります。

SQLインジェクション

SQL文の構成を文字列連結で実施する際、アプリケーションの変数をSQL文のリテラルとして正しく構成されているか等。

SQLインジェクションの被害事例はこちらから

クロスサイトスクリプティング

HTTPレスポンスヘッダのコンテンツタイプフィールドに文字コードの指定の実施か等。

クロスサイトリクエストフォージェリ

処理の実行にて再度パスワード要求の有無等。

OSコマンドインジェクション

シェルを起動可能とする言語機能が使われているか等。

ディレクトリ・リスティング

Webサイトの設定ファイル、「Indexes」が管理されているか等。

メールヘッダ・インジェクション

HTMLで宛先を指定しているか等。

ディレクトリ・トラバーサル

外部からのパラメータでWebサーバ内のファイル名を直接指定可能とするか等。

意図しないリダイレクト
HTTPヘッダ・インジェクション

Webサイトにてリバースプロキシとしてキャッシュサーバを構築しているか等。

認証機能
セッションID管理の不備
アクセス認可制御の不備、欠落
Webクローラへの耐性

やっぱり専門家にチェックしてもらいたい

中小企業情報セキュリティ.comでは、Web脆弱性診断サービスを実施しております。こちらは有償サービスとなりますが、自社Webサイトが安全な状態かどうか各種チェックを行い、脆弱性の有無やリスクの危険度についてレポートをご提出いたします。
Web脆弱性診断サービス
Webセキュリティについて不安な点などございましたら、お気軽にお問い合わせください。

社内ネットワークの脆弱性診断

外部（ホームページ等）の脆弱性診断だけでなく、内部（社内ネットワーク）の脆弱性診断も、企業としては必要となります。中小企業情報セキュリティ.COMでは社内ネットワークの脆弱性を診断し、下記項目を明確にし、レポートにて報告するサービスを提供しております。詳しくはこちらをごらんください。

PC（Windows・Mac）
■OSの脆弱性
　⇒使用しているOSに脆弱性は潜んでいないか？（最新版にアップデートされているか）
■社内PCで使用しているアプリケーションに脆弱性は潜んでいないか？
　⇒MicroSoft製のOffice、ウェブブラウザ、Adobe製のPDF、Reader、Flash、Java等のアプリケーションに脆弱性は潜んでいないか？（最新版にアップデートされているか）（サードパーティ製の検査はスタンダードプランのみ）
■ファイアウォールの設定が正しいか
　⇒間違った設定になっていないか？脆弱性のある必要のないポートが空いていないか？　　　　

サーバ（Linux系・Windows他）
■OSの脆弱性
　⇒サーバで使用しているOSに脆弱性は潜んでいないか（最新版にアップデートされているか）
■サーバアプリケーションに脆弱性は潜んでいないか？
　⇒サーバアプリケーションのバージョンに問題がないか（最新版にアップデートされているか）
■ファイアウォールの設定が正しいか
　⇒間違った設定になっていないか？脆弱性のある不要なポートが空いていないか？　　　　

ネットワーク機器（ルータ・スイッチ等）
■ファームウェアの脆弱性
　⇒使用しているルータに脆弱性は潜んでいないか？脆弱性のあるファームウェアではないか？（最新版にアップデートされているか）
■設定ミスによる脆弱性
　⇒初期パスワードのまま使用していないか？WAN側から管理画面にアクセスできないか？　

その他端末（プリンタ・複合機・サイネージ・Webカメラ・IoT機器等）

■ファームウェアの脆弱性
　⇒使用しているIoT機器に脆弱性は潜んでいないか？脆弱性のあるファームウェアではないか？（最新版にアップデートされているか）
■設定ミスによる脆弱性
　⇒初期パスワードのまま使用していないか、初期設定のまま重要なポートが空いていないか