Zone-hで改竄報告されたサイトを調べていると時々出くわすのが「運用を終えたサイト」です。

運用を終えたのでメンテナンスもされず放置された状態になってしまい、脆弱性の解消もされることがなくなっているために攻撃者の格好の標的になってしまっています。

ひょっとすると管理者の方から見ると「用無しなのでどうなっても構わない」という判断がされているのかもしれませんが、脆弱性が放置されるというのは好ましい状態ではありませんし、偽サイトの温床になる可能性もあります。

では、どのようにしたら良いのでしょうか?

非常に単純な話で、トップに一枚ペラのページを配置すれば良いだけです。気を付けなければならないのはCMS等を使ってはいけないという事です。

ウェブ制作会社に一枚ペラのランディングページの作成を依頼すると、最近はCMSを使って構築されることが多いようです。しかしながら、これでは「たかだか一枚ペラのページ」なのに脆弱性が発生する可能性が出てきてしまいます。結果として改竄に繋がる可能性もあります。

その他にFTP(SFTP)のパスワードを非常に複雑で強固なものにする事も重要です。出来ればアカウントも推測不可能なものにしておくと良いでしょう。FTP(SFTP)のアカウントを突破されてファイルを配置されてしまうパターンの改竄も多数見かけますので。

こうすることにより不要になったサイトであっても改竄被害に遭うことが少なくなります。

そのまま放置は絶対にダメです。