ブログ・コラム
対策してますか? 〜とってもコワい「WEBサイトの改ざん」〜
はじめに
WEBサイトの「セキュリティ」ってナニ!?でもお伝えしたように、WEBサイトを運営していると日々さまざまなリスクに晒されます。「公開したばかりだから」「ウチのサイトに重要な情報はないから」と思われる方がいるかもしれませんが、今、この瞬間にも数多くのWEBサイトが無差別に攻撃を受けています。”インターネットに公開されているすべてのWEBサイトは常に攻撃に晒されている”といっても過言ではありません。
WEBサイトのセキュリティリスクは多岐にわたりますが、その1つに「WEBサイトの改ざん」があります。今回は「WEBサイトの改ざん」とは何か、どのようなリスクがあるのか、どのように対策すればよいのかについてお伝えします。
「WEBサイトの改ざん」とは?
「WEBサイトの改ざん」とは、WEBサイトのコンテンツやデザイン、機能などが不正に変更されることを指します。具体的には以下のような改ざんが考えられます。
WEBサイトの文章や画像、リンクなどが不正に変更される(コンテンツの改ざん)
WEBサイトの機能が不正に変更される(機能の改ざん)
たとえば企業のWEBサイトのコンテンツが偽の情報や画像・動画などに書き換えられた場合、顧客や取引先に誤解を与える可能性があります。上場企業であれば株価にも影響が出るかもしれませんし、非上場の企業であっても取引先や顧客からの信頼を失う可能性があります。
また悪意のあるスクリプト(JavaScript)が埋め込まれてしまった場合、訪問者の端末へウイルスなどを感染させたり、クレジットカードなどの個人情報を外部の第三者に送信させたり、といったリスクがあります。WEBサイトの見た目はまったく変わっていないのに、実は危険な状態になっていることもあるのです。
何故改ざんするのか?
基本的に、攻撃者は以下のような目的でWEBサイトを改ざんします。
データベースなどに保存されている情報を盗む
訪問者が入力する個人情報などを盗む
訪問者をマルウェアに感染させる
自身の政治的な主義・主張などを広める
ECサイトなどでは会員の個人情報や購買履歴などをデータベースに保存しているため、その情報を盗んで悪用したり、サイト運営者を脅迫したり、といったことが考えられます。またWEBサイトの機能を改ざんし、訪問者が入力するクレジットカード情報などを略取して不正利用する事件も頻繁に発生しています。情報を盗む目的の場合、WEBサイトの見た目が変わらないために改ざんに気づきにくく、被害が長期間かつ大規模になることがあります。
政治的な主張を広める目的で公的機関などのWEBサイトを改ざんすることもあります。この場合はWEBサイトの見た目やコンテンツが変更され、訪問者に対して特定の主張が強制的に表示されることがあります。訪問者に対して誤った情報が提供されることでWEBサイトの信頼性が損なわれ、訪問者の離脱や不信感を招くことも考えられます。
何が怖いのか?
WEBサイトの改ざんが恐ろしいのは WEBサイトを改ざんされた自分たちがサイバー攻撃の被害者になると同時に、WEBサイトの利用者・訪問者に被害を与える『加害者』になってしまう可能性があること です。
前述のようにWEBサイトの文章や画像、リンクなどが不正に変更される「コンテンツの改ざん」だけであればまだしも、WEBサイトの機能が不正に変更される「機能の改ざん」が行われると訪問者の端末がマルウェアに感染したり、個人情報が盗まれたりするリスクがあります。 利用者からしてみれば「このWEBサイトを訪問したことでウイルスに感染したのだから、WEBサイトの運営者が悪い」ということになりかねません。
元凶はWEBサイトを改ざんしたサイバー犯罪者であるにもかかわらず、WEBサイトの運営者が利用者からの信頼を失って損失を被るだけではなく、適切なセキュリティ対策を講じていなかった場合には法的な責任を問われる可能性もあるのです。
どうやって改ざんされるのか?
WEBサイトの改ざん方法はさまざまですが、代表的なものとしては以下が挙げられます。
| 第三者の不正アクセス | WEBサイトの管理者アカウントやFTPアカウントなどの漏洩や、WEBサイトのセキュリティ脆弱性を利用される |
|---|---|
| SQLインジェクション | WEBサイトのアプリケーションに脆弱性があり、データベースに対してSQLインジェクション攻撃が行われる |
| クロスサイトスクリプティング(XSS) | WEBサイトのスクリプトなどに脆弱性があり、コンテンツが書き換えられる |
| クロスサイト・リクエスト・フォージェリ(CSRF) | ユーザーのセッションを乗っ取り、不正な操作を行う |
| ゼロデイ攻撃 | 未修正の脆弱性を利用してシステムに不正アクセスする |
WEBサイト管理者やコンテンツ管理の委託先がウイルスに感染し、アカウント情報が外部に流出することがあります。またWEBサイトにセキュリティ脆弱性があり、本来はアクセスできない管理画面にアクセスされたり、ファイルのアップロード機能を悪用されたりすることがあります。
WEBアプリケーションに脆弱性があるとSQLインジェクションによる攻撃が行われることがあります。この攻撃が成功すると、データベースに保存されている情報の略取・改ざんが可能になります。またWEBサイトのスクリプトなどに脆弱性がある場合はクロスサイトスクリプティング(XSS)による攻撃も脅威です。これにより訪問者の情報が盗まれたり、マルウェアに感染させられたりします。
あなたのWEBサイトは大丈夫?
管理するWEBサイトが改ざんのリスクがないか、改めて確認しましょう。
どのような対策があるのか?
他のセキュリティリスクと同様に、WEBサイトの改ざんも日頃の適切な運用管理とリスクへの対策、そして万が一の際の対応が重要です。
1.WEBサイト管理・コンテンツ更新用アカウントの適切な管理
パスワードの使い回しをしない、不要になったアカウントは削除する、などのアカウント管理を適切に行う
2.WEBサイトのセキュリティ脆弱性の確認・対応
利用しているサーバ、CMS、プラグインなどのセキュリティ脆弱性を定期的にチェックし、パッチを適用する
3.WEBサイトの定期的な監視・チェック
WEBサイトのコンテンツを定期的にチェックし、改ざんの有無を確認する
4.WEBサイトのセキュリティ対策の強化
WEBアプリケーションファイアウォール(WAF)や侵入防止システム(IPS)などのセキュリティ対策を導入し、不正アクセスや攻撃を防ぐ
5.バックアップの取得
WEBサイトのバックアップを定期的に取得し、改ざんが発生した際にはバックアップから復旧する
アカウントを不正利用されないこと、WEBサイトのソフトウェア脆弱性を放置しないこと、は非常に重要です。WEBサイトにアプリケーションを設置している場合は定期的に脆弱性診断を行い、問題があれば速やかに修正しましょう。WAFやIPSなどのセキュリティ対策製品・サービスは多くの攻撃を防いでくれますが、ゼロデイ攻撃と呼ばれるような最新の脆弱性には対処できないこともあります。アプリケーション固有の脆弱性に対してはWAFやIPSでは対応できないこともあるため、過信は禁物です。
WEBサイトのコンテンツを定期的にチェックし、改ざんの有無を確認することも重要な対策の1つです。万一、改ざんが発生した場合も早期発見できれば速やかに対処し、被害を最小限に抑えることができます。またWEBサイトのバックアップを定期的に取得することで、改ざん前のコンテンツへの迅速な復旧も可能になります。
まとめ
WEBサイトの改ざんは、情報漏洩やマルウェア感染、詐欺被害などさまざまなリスクを引き起こします。そのため、WEBサイトのセキュリティ対策を強化し、定期的な監視やバックアップの取得などの対策を実施することが重要です。改ざんされたWEBサイトは速やかに対処し、被害を最小限に抑えることが求められます。WEBサイトの運営者は、改ざん対策を十分に考慮したセキュリティ対策を実施し、安全なWEBサイト運営を心がけることが重要です。
弊社ではWEBサイトおよびWEBサイトを公開するためのサーバ・ソフトウェアの設計・構築を行っています。お客様ごとにWEBサイトの特性を考慮し、セキュリティ対策もふまえた提案を行い、安全・安心なWEBサイト運営をサポートしていますので、WEBサイトの運用に課題をお持ちの方はぜひお気軽にお問い合わせください。
WRITER
ネットワーク事業部 事業部長
津田 一平
お読みいただきありがとうございます。また次の機会にお客様にとって有用な情報をご案内いたします!
(ハワイとたこわさが大好きです。)
関連のある
ネットフォレストソリューション
01
ウェブ改ざん検知サービス(gred)
WEBサイトが不正に改ざんされたり、悪意あるコードが埋め込まれたりしていないか、定期的かつ自動的にチェックし安全性を確保します。
インターネット側からコンテンツをチェックするため、サーバ側の監視では見つけることが出来ない改ざんも検知が可能です。
02
Scutum
WEBサイト上のアプリケーションに特化したファイアウォール機能を SaaS 型で提供するサービスです。
クロスサイトスクリプティングなどの代表的な手口に加え、Apache Struts2 の脆弱性やパスワードリスト攻撃などの新たな攻撃手法へも素早く対応します。
03
WEBサイト制作
WEBサイトの企画・デザイン・制作や、運営サポートなど、お客様との打ち合わせを大切にしながらサイト制作を行います。
他にも様々な課題に対応した
ソリューションを多数⽤意