Webサイト改ざんの手口や対処法とは?加害者にならないための対策をICT SOLUTION!
企業に甚大な被害をもたらすサイバー攻撃。攻撃に遭った結果、自社のWebサイトを改ざんされてしまう場合がある。ひとたび改ざんにあえば、Webサイトに悪意のあるコードを仕込まれ、訪れたユーザがトラブルに巻き込まれる二次被害に繋がりかねない。
メディアで騒がれたネットバンキングの不正送金も、改ざんされたWebサイトをユーザが閲覧してマルウェアに感染し、IDやパスワードを盗まれたことが原因だった。
こうしたトラブルを防ぐためにもセキュリティ対策は欠かせないが、適切な対策をしないままトラブルが発覚するまで改ざんに気づかないケースも実は多い。そんなWebセキュリティの穴に落ちている情シスがここにもひとり────
にのまえくん!
最近、我が社のサービスサイトからの申し込みが激減したんだ!
何か心当たりあるかね?
……へっ!?
そんな意識じゃ困るんだよぉ!
とりあえず、どうにかしておいてくれ!頼んだぞ!
えぇっ!俺Web担当者じゃないんだけど…!
……ハァ…仕方ない、とりあえず調べるか
──── しばらくして ────
うーん、アクセスはあるみたいなんだけど
何かおかしいな…?サイトが全然表示されない…
Webサイトの運用に悩んでいるそこのキミ!
あなたは情シスマンさん!
ちょうどいいところに来ました!一緒に調べてください!
…もはや私を頼る気満々だな…
なに?Webサイトの調子がおかしい?
そうなんですよ~!
このサイトなんですけど…何だか様子がおかしくて
ファイアウォールはきちんと展開しているようだな
しかし…この気配は…!
ククククッ…!
もう少しで侵入アーンド改ざんできるんだナ!
な、何が起こっているんですかぁ…?
まさか…攻撃されてるんですか?
目に見えないから全然わかんないよ~!
Dr. プロトコルがWebサイトに
不正侵入しようとしているんだ!
げげぇっ!?どうしよう!?
ファイアウォールは有効になっているのに!?
Webサイトやアプリケーションはファイアウォールだけだと守り切れないのだ。
し、知らなかった…
ファイアウォールはイージスの盾ぐらいに思ってた…
なら、なおさら早急に手を打つ必要がある!
Webサイトを改ざんされてしまったら恐ろしいことになるぞ!
用語
Webサイト改ざんとは?
企業などが運営している正規のWebサイトを攻撃して構造を変えたり、別のサイトに飛ばしたりすること。改ざんによる被害は、以下のようなものがある。
・Webサイトの内容を誤った情報に書き換えられてしまう
⇒ユーザや取引先に迷惑をかけるだけでなく、企業やブランドの信用失墜に繋がる
・悪意のあるプログラムを埋め込まれてしまう
⇒アクセスしたユーザのPCにウイルスやマルウェアが侵入する
・お問い合わせや資料請求などの入力フォームの改ざん
⇒入力された個人情報や機密データが勝手に外部へ送信される
サイトが改ざんされると、被害はWebサイト管理者だけでなく、サイトを利用するユーザにまで広がってしまう。悪意あるサイトに誘導されたり、閲覧しただけでマルウェアに感染させられたりするのだ。知らぬ間に被害者である企業が加害者となってしまう深刻な脅威といえる。
そ、それはイヤだぁぁぁ!
Webマーケの担当が擦り切れるまでA/Bテストとかして集客したサイトですよ!?
一瞬でパァになるなんて…担当者にあわす顔がないぃ…
で、でも…守るために何をすれば良いのかサッパリわかんないです!!
そうだな、ではまずWebサイト改ざんの手口を解説しよう。
調査
- Webサイトのセキュリティ対策をなんとかしたい
- 社内ではWebサーバーの運用・保守が難しい、専門知識がない
- 人手が足りない、簡単にセキュリティを導入したい
Webサイト改ざんの手口とは
Webサイトの改ざん手口は脆弱性を狙ったものとアカウント乗っ取りによる改ざんの2種類がある。
脆弱性を狙った改ざん
WebアプリケーションやWebサイトに使用しているソフトウェアの脆弱性を狙い、改ざんを行う。
Webアプリケーションの脆弱性を突く攻撃の一つとしてSQLインジェクションが挙げられる。
SQLというデータベースを操作する言語を悪用した攻撃で、脆弱性のあるWebアプリに不正なSQLを送信し、データベースにあるコンテンツを改ざん。データを盗み見したり、サイトにマルウェアを埋め込まれたりする。
また、サーバのOSやWebサイトのCMS(コンテンツマネジメントシステム)といったソフトウェアに脆弱性がある場合、更新プログラムが提供されるまでの間に狙われるゼロデイ攻撃といったものも脆弱性を狙った改ざんの一つ。
WordPress※を使用しているWebサイトでアップデートしていないサイトが狙われることも多い。
※WordPressとは...PHPというプログラミング言語で作られているオープンソースのブログソフトウェア。CMS(コンテンツマネジメントシステム)として広く普及している。
アカウントの乗っ取りによる改ざん
システムの脆弱性を狙われ管理者のアカウント情報が流出したり、人的ミスや内部の人間による悪意のある流出などにより、アカウント自体が乗っ取られ、Webサイトを改ざんされるケースもある。
アカウントの乗っ取りは、システム上不正アクセスの挙動として認識されにくく、改ざんの発覚などが遅れることも。
Webサイト一つとっても、いろいろな経路で改ざんされる可能性があるんだな…
うちの会社はWordPressを使っているので、よく更新してください!って管理画面でてるんだけど、あれは対応したほうがいいんだな…
攻撃者の手口も年々巧妙化しているから、自分たちだけで守っていくのも限界があるかもしれないな。
次は改ざんされたときどんな影響があるのかを解説しよう。
Webサイト改ざんの影響や被害について
Webサイトの改ざんは金銭的被害だけでなく、企業に対して様々な被害・影響を与えるものだ。
改ざんによって、悪意のあるプログラムが埋め込まれ、アクセスしたユーザがウイルスに感染し、二次被害を誘発することにでもなれば訴訟ものだ。
いくらSSL化して通信を暗号化していたとしても、問い合わせフォームを改ざんされれば、入力した個人情報は攻撃者に筒抜けだ。
管理者アカウントが乗っ取られれば、サーバごと乗っ取られることにもつながりかねない。
仮にマルウェアが埋め込まれたり、データベースに登録されている顧客情報が流出したりしなくても、Webサイトが改ざんされたという事実自体が、ユーザや取引先に不信感を与えてしまうことになる。
聞いてるだけで寒気がしてきました…
企業の信用失墜や訴訟リスク、損害賠償などの金銭的被害にもつながりかねないのがWebサイト改ざんなのだ。
では、本題のWebサイト改ざんの被害を受けたとき、どのように対応したらよいのかを解説しよう!
はい!よろしくお願いします!
Webサイト改ざんを受けた場合の対処法について
まず最初に実施すべきはWebサイトへの通信を遮断することだ。
改ざんされてしまったWebサイトにアクセスがある限り、被害が広がる可能性がある。
発覚したらすぐにメンテナンスモードにし、外部からのアクセスを完全に止めよう。
その次に、バックアップからサイトを復元する。
Webサイト改ざんの場合、ファイルやコードに不適切なものが紛れている状態だ。
改ざん前のデータに戻し、正常な状態に復旧しよう。
ここまでが応急対策の流れだが、Webサイトの脆弱性をチェックしたり、被害に至る迄の原因、被害状況の把握をしたりして、会社としての対応や今後の方針を決めるところまでの恒久対策がより重要となる。
場合によっては被害者に対する謝罪、補償やメディアへの公表なども含まれるだろう。
巧妙な攻撃者である場合、改ざんや被害の状況を容易に把握できないようにしている場合もあるため、専門業者に調査を依頼するのも検討するとよい。
被害の最小化、状況の把握、今後の対策が重要ってことですね。
その通り。何より迅速に対処できるかが重要だな。
とはいえ、Webサイト改ざんの被害を受けないのが一番いいからな。
次は、改ざんされないために必要な対策について解説していこう。
Webサイト改ざんを未然に防ぐために、必要な対策とは
前章で解説した通り、Webサイトの改ざんは「脆弱性を狙った攻撃」「アカウントの乗っ取り」等で引き起こされるため、それに対してセキュリティ対策を実施する必要があるぞ。
デバイスの状態を最新に保つ
使用しているハードウェアのOSやセキュリティアップデートは必ず実施しよう。
また、インストールしているアプリケーションについても必ず最新バージョンにしておくのが重要だ。
なかなか、会社で管理しているデバイスの状態を常に把握するのは難しい。
そういった時は、IT資産管理サービスなどの導入を検討するとよい。
IT資産管理について解説した記事はこちら
Webサイトで使用しているソフトウェアを最新に保つ
Webサイト運営に使用されているソフトウェアは、ApacheやNginx、IIS、MySQL、WordPressなど必要なものが多岐に亘り、それぞれ複数種類存在する。それぞれのソフトウェアのバージョンが最新状態になっているか、サポートが終了して脆弱性にさらされていないかを常に把握しておこう。
FTPサーバの暗号化
WebサイトへのデータアップロードにはFTPという通信方式がよく使用される。
しかしFTP自体古い通信方式であり、暗号化することができない。
TLSまたはSSLで暗号化した通信方法はFTPSになるので、それを利用しよう。
パスワード管理
Webサイトに使用しているCMSのパスワードや、デバイスそれぞれのログインパスワードなど、管理しなければならないパスワードはたくさんある。
パスワード管理ポリシーなどを策定し、パスワードの共有範囲や複雑化なども徹底して管理しよう。できれば二段階認証やワンタイムパスワードなどの、よりセキュアなログイン(アクセス)方法を検討するのがおすすめだ。
セキュリティサービスの導入
セキュリティサービスを導入することで、一定の改ざんリスク低減に効果があるぞ。
仮にOSなどがすぐにアップデートできない状況であっても、セキュリティサービスを導入しておくと攻撃に合うリスクを低減することも可能だ。
ファイアウォールで全部守れると思っていたんですが、甘かったですね…
ファイアウォールは、あくまで通信データのIPアドレスやポート番号などの情報を判別し、接続の許可をするかどうかを判断しているものだ
Webサイトやアプリケーションを守るためには『WAF』が必要になる
んんん…?どういうことだ?
わ、わふ…?
Webサイト改ざん対策におすすめなセキュリティサービスとは?
Webサイト改ざん対策におすすめなセキュリティサービスは「WAF(Web Application Firewall)」だ。
WAFとはWeb Application Firewallの略語で従来のFW(ファイアウォール)やIDS/IPSでは防ぐことができない攻撃からWebアプリケーションやWebサイトを防御するファイアウォールのことを指す。
USEN GATE 02 では「攻撃遮断くん」というWAFをおすすめしている。
攻撃遮断くんは、Webアプリケーションの脆弱性を狙った攻撃を遮断することができるセキュリティサービスで、クラウド環境に構築されたWebサイトでも対応が可能だ。
改ざん検知サービスもオプションであり、改ざんの早期発見にも役立つ。
手間のかかる保守や運用をまるっと任せられるのが特徴だ。
《防御の違い》
- FW:IPアドレスやポートなど通信データの情報からアクセス許可の有無を判断する。
- IDS/IPS:OSやソフトウェアを狙った攻撃を防御する。IDSは通信の異常を検知・通知し、IPSはIDSで検知された不正なアクセスに対して防御措置を行なう。
- WAF: SQLインジェクションやクロスサイトスクリプティングなどWebアプリケーションへの攻撃に特化したファイアウォール。
それぞれ異なるレイヤの攻撃を防御するため、単体で運用しても完全な守りにはならない。
なるほど、これならうちの会社でもすぐ導入できそうです!
よし早速、対策をしよう!
マルチセキュリティツールからカードを生成!
USEN GATE 02 オープン!「攻撃遮断くん」を展開!
マルチセキュリティツール
情シスマンのベルト部分についているセキュリティツール。カードについているボタンを押して共通鍵や秘密鍵の生成はもちろん、カードをかざすことでポートやプロトコルの制御や操作もできる。また、カードを変形ルーターウォールや光ファイバーテイルに差し込むことでウイルス駆除やレジストリの復元を行なうことができる。
ククククッ…!
そんな簡単にセキュリティ対策ができるわけ…
「攻撃遮断くん」は、システムやネットワーク構成を変えずに利用できる
クラウド型のWAFだ!オマエの攻撃を即座に検知して遮断する!
(ガキィィィィィン!)
なっ!なんだと…!
こんな短時間でセキュリティを構築するなんて…!
チッ…出直すゾ!(ブォン)
どうやら脅威は去ったようだな…
あああああ危なかったですね…!
自分のところは攻撃されない、ファイアウォールだけで大丈夫って思っていた自分がほんとに恐ろしい…
サイバー攻撃は日々巧妙化し、あらゆる手法で狙ってくる!だからこそ、複数のセキュリティ対策を組み合わせて「多層防御」を行なう必要があるんだ!
セキュリティ対策って適切なソリューションをただ配置するだけじゃなくて、相互の機能も理解しておかないといけないんですね…奥深い…!
キミに必要なのはリスクを見据えたセキュリティ意識だな
攻撃されてからでは遅い…事前の対策がカギを握るんだ
強い情シスが企業のセキュリティ対策も伸ばす!また会おう!
解決
Webサイト改ざんは、サイバー攻撃の被害者である企業が知らぬ間に加害者にもなり得る深刻な脅威だ。一度改ざんされてしまえば復旧に莫大な費用がかかったり、個人情報の流出など重大な損害に繋がりかねない。「サイバーセキュリティ基本法」が2014年11月に成立した背景から、サイバー攻撃の被害を防止する努力が企業には求められている。自社だけでなく、取引先や顧客を守るためにも、リスクを見据えた事前のセキュリティ対策は必要だ。Webサイト運用に一抹の不安を抱えている情シスマンはぜひ導入を考えてみてほしい。
攻撃遮断くん
- 手間のかかる保守・運用作業はすべておまかせ
- クラウド環境(IaaS)で構築されたWEBサイトにも対応
- 改ざんを検知するとただちに通知(※オプション機能)
■サーバセキュリティタイプ
エージェントをインストールするだけの簡単導入。IPS機能付き。
■Webセキュリティタイプ
DNSの切り替えだけで導入可能。クラウド上のWAFセンターで攻撃を検知/遮断。
■WEBセキュリティタイプ advanced
お客様専用のWAFセンターをご用意。他社にはない USEN GATE 02 オリジナルプラン。
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
