企業のWebサイトが突然見知らぬ内容に書き換えられていたり、不審なリンクが追加されていたりする被害が後を絶ちません。これは「Webサイト改ざん」と呼ばれるサイバー攻撃の一種であり、企業の信頼失墜や個人情報流出といった深刻な被害をもたらします。

「情シスマン」と同じくUSEN ICT Solutionsによって運営される「サイバーセキュリティラボ」では、情報漏えいや不正アクセスなどのセキュリティインシデントに関するニュースを発信しています。Webサイト改ざんによるインシデントも多く確認されており、以下はその代表的な事例です。

「うちのサイトは大丈夫だろう」と思いがちですが、実際には多くの企業が知らないうちに被害を受けているのが現実で、企業規模を問わず対策の必要性が高まっています。

そこで今回は、Webサイト改ざんの具体的な手口を詳しく解説します。効果的な対策方法も紹介していますので、ぜひ参考にしてください。

<この記事でわかること>

Webサイト改ざんとは、悪意のある第三者が企業のWebサイトに不正に侵入し、コンテンツやプログラムを勝手に変更する行為です。これは単なるいたずらではなく、企業経営に直結する重大なサイバー攻撃の一種です。

Webサイト改ざんを行う動機は、金銭的な利益の獲得や悪意の拡散にあり、具体的には以下3つの目的が挙げられます。

改ざんされたサイトにアクセスした一般ユーザーのPCに、ウイルスやランサムウェアを自動的にダウンロードさせるスクリプトを埋め込みます。これにより、サイトが訪問者をターゲットとした大規模な攻撃拠点として利用されてしまいます。

改ざんによって表示された偽のログイン画面などにユーザーを誘導し、IDやパスワード、クレジットカード情報などの機密情報を窃取します。

単なる愉快犯的な行為や、特定の企業に対する業務妨害を目的としてサイトの見た目を破壊したり、機能を停止させたりすることもあります。

Webサイト改ざんは、単にWebページが書き換わる以上の、企業存続に関わる重大なリスクを伴います。特に以下の3点は、発生した場合、深刻な影響を及ぼします。

改ざんによる情報流出が発覚した場合、報道機関を通じて世間に広く知れ渡り、企業イメージは低下します。特に金融機関やECサイトなど、信頼性が重要なビジネスでは致命的となるでしょう。

顧客情報や個人情報が流出した場合、「個人情報保護法」などの法令に基づき、企業は多額の損害賠償責任を負う可能性があります。セキュリティ対策の不備が問われれば、その責任はさらに重くなってしまいます。

改ざんの被害が確認されたサイトは、被害の拡大を防ぐために即座にネットワークから切り離し、閉鎖・停止させることが必要です。復旧作業が完了するまでの間、サービス提供がストップし、売上の減少や新規顧客獲得の機会損失が発生します。

ここでは、実際に攻撃者がサーバーやWebアプリケーションの脆弱性を突いて改ざんを行う、具体的な手口について解説します。

SQLインジェクションは、Webサイトの裏側にあるデータベースを不正に操作するサイバー攻撃です。SQLとは、データベースに対してデータの検索や追加、更新、削除といった操作を行うための言語（Structured Query Language）のことです。攻撃者は、Webサイト上のフォームやURLのパラメータなど、ユーザーが入力できる箇所にこのSQLの命令文を不正に挿入（インジェクション）します。

この攻撃が成功すると、データベースは挿入された不正な命令文を正規のものと誤認して実行してしまいます。その結果、Webサイトの管理者パスワードや個人情報などの機密データが盗み出されるほか、データベース内の値を書き換えることでWebサイトの内容が勝手に改ざんされるなどの甚大な被害が発生します。

また、SQLインジェクションと同様に、ユーザー入力の穴を突く攻撃に「クロスサイトスクリプティング（XSS）」もあります。この二つの攻撃は、どちらも「不正な命令文の注入」が基本ですが、狙う対象が異なります。SQLインジェクションがWebサイトのデータベースを直接狙うのに対し、クロスサイトスクリプティングはWebサイトの訪問者を狙って不正なスクリプトを実行させます。

SQLインジェクションの詳細や対策方法、クロスサイトスクリプティングとの違いについては、こちらのコラムで詳しく解説しています。

ソフトウェアの脆弱性が発見されてから修正されるまでの期間を狙った、ゼロデイ攻撃と呼ばれる手口もあります。ゼロデイとは、ソフトウェアやシステムに未知の脆弱性が発見された日を「1日目」としたとき、その脆弱性を開発元がまだ認識していない、あるいは修正パッチが提供されていない「0日目（ゼロデイ）」に仕掛けられるサイバー攻撃を指します。ソフトウェアの更新プログラムが提供されるまでは有効な対策が存在せず、防御が非常に困難な攻撃として恐れられています。

Webサイト改ざんという文脈では、攻撃者はCMS（WordPress など）やWebサーバーソフトウェア、Webアプリケーションフレームワークなどに潜む脆弱性を利用します。攻撃者はこの脆弱性を突いてサーバーへの侵入経路を確立し、不正なファイルをアップロードしたり、設定を改変したりすることで、最終的にWebサイトのコンテンツ改ざんを実行します。

ゼロデイ攻撃の詳細や対策方法についてはこちらの記事で詳しく解説しています。

WordPress などのCMS（コンテンツ管理システム）は、広く使われているため攻撃の標的になりやすいです。特に、CMS本体ではなく、後から追加した「テーマ」や「プラグイン」に存在する脆弱性を突いて、管理画面へのアクセス権限を奪取します。

攻撃者はサーバー上のファイルを自由に編集できるようになり、Webサイトのソースコード全体に悪質なスクリプトを埋め込みます。これにより、サイト全体がマルウェア配布の踏み台と化すなど、非常に大きな被害につながります。

これは、Webサイトの直接的な脆弱性を狙うのではなく、サイトが埋め込んでいる外部サービス（広告配信、アクセス解析タグ、チャットウィジェットなど）を改ざんする手口です。

攻撃者が改ざんした外部タグを通じて、サイト訪問者のPCにマルウェアをダウンロードさせたり、偽の警告を表示させたりします。サイト管理者側からすると、自社が攻撃されたわけではないため気づきにくいのが特徴で、被害が発覚するまでに時間がかかるケースが多いです。

ここでは、Webサイトの改ざんを防ぐための4つの対策について解説します。

Webアプリケーションへの主要な改ざん手法であるSQLインジェクションやクロスサイトスクリプティング（XSS）といった攻撃は、WAF（Web Application Firewall）が持つシグネチャベースの検知機能によってその大半を水際で阻止することが可能です。WAFは、コード修正なしにアプリケーション層の防御を強化できるため、特にセキュリティ対策を自社内だけで完結させるのが難しい場合に非常に有効な外部防御策となります。

情シスマンを運営するUSEN ICT Solutionsでは、「攻撃遮断くん」といったWAFサービスを提供しています。

しかし、WAFは万能ではありません。パターンが未定義のゼロデイ攻撃や、水飲み場型攻撃のようにWebサイトが組み込んでいる外部連携コンポーネントを改ざんする新しい手口に対しては気づきにくいという課題があります。

そのため、Webサイト改ざんの脅威から未然にシステムを守るためには、この後に説明するような対策を複数組み合わせ、多層的に防御する戦略が不可欠となります。

攻撃者は、OSやWebサーバー、そして WordPress などのCMS、プラグイン、ライブラリの既知の脆弱性を狙って侵入を試みます。

ベンダーから提供されるセキュリティパッチやアップデートは、脆弱性を修正するために公開されています。これらの情報を常にチェックし、最新バージョンへの更新を怠らないことが、Webサイト改ざんの手口を防ぐ最も基本的かつ重要な対策です。

CMSの管理画面やサーバー接続（FTP／SSH）に使用する認証情報が流出すると、攻撃者が正規ユーザーになりすまして侵入し、ファイルを不正に改ざんする可能性があります。この対策には、以下の実施が重要です。

自社のWebサイトやWebアプリケーションに、開発時に意図せず埋め込まれてしまった潜在的な脆弱性を、専門家の視点から洗い出すことが重要です。

専門業者による脆弱性診断やペネトレーションテストを定期的に実施することで、攻撃者が利用しようとするWebサイト改ざんの手口に対する弱点を客観的に把握し、事前に修正することができます。

脆弱性診断の詳しい解説は以下のお役立ち資料で詳しく解説しています。無料でダウンロードできるため、ぜひチェックしてみてください。

どんなに強固なセキュリティ対策を講じても、Webサイトの改ざんを100%防ぐことは難しいのが現実です。万が一、改ざんが発覚した場合は、被害の拡大を防ぐため、事前に定めた手順に従って冷静に行動することが極めて重要です。ここでは、Webサイトが改ざんされた場合に企業が取るべき、具体的な3つの対処方法を解説します。

Webサイトの改ざんが発覚した場合、直ちに行うべきなのは、サイトの公開停止とサーバーのネットワークからの切り離しです。

これは、改ざんされたサイトを経由してのマルウェア感染拡大や個人情報の窃取といった二次被害を防ぐためです。また、Webサイトが攻撃者の「踏み台」として悪用され、他のサイバー犯罪に加担するリスクも遮断できます。

サイト停止期間中は「メンテナンス中」といった案内を表示し、復旧作業の目安を利用者に伝えることで、不安を軽減することができます。

サイトの隔離後は、改ざんされたファイルや侵入経路を特定し、安全な状態に復旧させます。どのページが改ざんされたのか、どのようなファイルが変更・追加されたのか、いつ頃から改ざんが始まったのかを特定します。サーバーのアクセスログやエラーログを詳細に分析し、攻撃者がどのような方法でシステムに侵入したかを突き止めるようにしましょう。

調査が完了し、改ざんされた箇所と原因が特定された後、改ざん前の安全な状態のバックアップを用いてサイトを復元します。この際、改ざんの原因となった脆弱性を修正した上で復元することが絶対条件です。

改ざん事件の再発を防ぐため、侵入経路となった脆弱性を完全に修正し、根本的な対策を講じます。例えば、以下のような形です。

これらの取り組みに加え、全従業員のセキュリティ意識向上も極めて重要です。情報セキュリティに関する動画教材の視聴や、標的型攻撃メール訓練（フィッシング詐欺メールを模した訓練）などを積極的に活用し、リテラシーを高めていく必要があります。

情シスマンを運営するUSEN ICT Solutionsでは、メール訓練機能とリテラシー向上のための教材コンテンツを兼ね備えたサービス「情報漏えい防ぐくん」を提供しています。

また、インシデント対応マニュアルの作成や緊急時の連絡体制の整備をしていくと、万が一の事態に備えられます。