View more

Menu
Webサイトの改ざん手口と必要なセキュリティ対策

Blog

Webサイトの改ざん手口と必要なセキュリティ対策

モチマス ミサ

CCO モチマス ミサ

Webサイトの改ざんとは、Webサイトに第三者が悪意のある書き換えをする行為のことです。自社のサイト情報が書き換えられれば、不適切な情報を発信してしまったり、訪問者をウイルスに感染させてしまったりなど、企業の信用を大きく損なうリスクが生じます。 今回はWebサイトの改ざんが行われるまでの具体的な手口や事例をご紹介したうえで、必要なセキュリティ対策を9つに分けて解説します。
Webサイトの改ざん手口と必要なセキュリティ対策

Webサイトの改ざんとは

Webサイトの改ざんとは、サイバー攻撃の一種であり、悪意のある第三者によってWebサイトに意図しない変更が行われることを指します。具体的には、Webページのコンテンツを書き換えられたり、マルウェア(悪意のあるソフトウェア)を埋め込まれたりするといったものがあります。

「不正に広告を表示させて利益を得る」「無差別的にマルウェア感染を引き起こす」などを目的に行われるため、アクセスが集中する企業のWebサイトは、必然的にターゲットとなりやすいのです。Webサイトの改ざんが行われると、Webサイトを一時的に閉鎖せざるを得なくなるばかりか、利用者にも被害を与えてしまう可能性があります。

たとえば、ECサイトを取り扱う企業であれば、サイトの閉鎖による経済的な損失は大きなものになるでしょう。そのうえで、顧客にも被害が広がれば、最悪の場合は損害賠償請求に発展するケースも考えられます。

主な手口は2つ

Webサイトを改ざんする手口には、大きく分けて2つの種類があります。ここでは、それぞれの内容について解説します。

 

Webサイトの脆弱性を攻撃

1つめは、Webサイトに使用している脆弱なサーバーやプラグインなどを狙って攻撃する手口です。なかでも代表的な手法としては、「クロスサイト・スクリプティング(XXS)」があげられます。

クロスサイト・スクリプティングとは、本物と偽物の2つのサイトをまたいで(クロスさせて)行う攻撃のことです。本物のサイトに罠を仕掛けておき、訪問者がそのページをクリックすると、不正なスクリプトを含んだ文字列が送信されて、偽物のページが表示されたり、情報を不正取得されたりするという仕組みです。

それ以外には、不正なURLを訪問者にクリックさせ、第三者がなりすましを行う「クロスサイト・リクエストフォージェリ(CSRF)」という手口もあります。これは、ユーザーとWebサーバー間におけるセッション管理の脆弱性を突いた攻撃であり、ユーザーになりすまして不正操作を行い、情報の取得やいたずら的な書き込みを行うというものです。

また、データベースに不正な操作を行う「SQLインジェクション」も代表的な手口としてあげられます。

アカウントの乗っ取り

2つめの手口は、管理者のログイン情報などを不正に取得し、アカウントやPCを乗っ取ってWebサイトを改ざんするという方法です。こちらは、フィッシング詐欺やリスト攻撃といった外部からのアプローチだけでなく、内部からの意図的な流出や人為的なミスによっても起こり得るのが特徴です。

アカウントが乗っ取られると、Webサイトの書き換え自体は正規のプロセスで行えてしまうため、不具合があっても発見が遅れやすい傾向にあります。

Webサイトの改ざんの具体的事例

企業のWebサイトが改ざんされてしまうと、具体的にはどのような影響が生じるのでしょうか。ここでは、実際に起きた事例を通して、被害の実態を見ていきましょう。

 

公共交通機関の事例

2009年末には、ある公共交通機関のWebサイトが改ざんされ、2週間にわたってその状態が続くという事例が起こりました。具体的な手口は、「Gumblar(ガンブラー)」という手法を用いて、トップページを含む複数のページを書き換え、閲覧者にマルウェア感染を引き起こさせるというものです。

すぐに対策が行われたものの、一部のページは2週間程度もその状態が続きました。Gumblarを使った同様の手口は、2009年から2010年にかけて数多く報告されています。

自動車メーカーの事例

ある大手自動車メーカーは、Webサイトの改ざんによって、閲覧したユーザーが外部サイトへ自動的に誘導されるという被害を受けました。外部のWebサイトに転送されると、そこでマルウェアがダウンロードされてしまう可能性があったことから、重大な被害が生じる危険性があったとされています。

私鉄の事例

2020年8月末には、地方の私鉄会社のWebサイトが改ざんされるという事件が起こりました。これは、本来設置されていた新型コロナウイルス感染症の注意喚起ページが改ざんされ、無関係のオンラインカジノを宣伝するページにリンクされていたというものです。

問題が発見されるまでの約2週間で、同ページに対するアクセスは約114件ありました。しかし、そのうち半数以上は発覚日当日に集中していたことから、関係者によるアクセスが相当数含まれていると考えられます。

すぐに対策を講じたため、大きな被害につながることはなかったものの、利用中の顧客には謝罪とともにウイルス感染の確認・駆除を依頼しなければならないなど、さまざまな対応に追われる事態となりました。

Webサイトの改ざんを防ぐための対策

Webサイトの改ざんを予防するためには、セキュリティホール(セキュリティの脆弱性)ができないように、さまざまなポイントに目を向ける必要があります。ここでは、基本的な対策として、9つのポイントをご紹介します。

 

IDやパスワードの管理を徹底する

まずは、IDやパスワードといった基本情報の管理を徹底することが大切です。具体的には、次のようなポイントがあげられます。

・使い回しをしない

・個人情報から推測されやすい文字列は避ける(誕生日など)

・意味のある英単語は使用しない

・大文字・小文字・数字・記号などの要素を組み合わせる

・一定以上の長さにする

また、内部メンバーによる人為的な流出を避けるためにも、メモを人の目に触れる場所に放置したり、必要のない相手に共有したりすることは控えましょう。

セキュリティソフトを導入する

Webサイト運営者のPCがウイルスに感染すると、そこを足掛かりにしてサイトの改ざんが行われてしまうというケースも決して少なくありません。そこで、手軽な対策法として、外部のセキュリティソフトを導入するのも効果的です。

セキュリティソフトは、「ウイルスを検知して駆除する」「悪質サイトへのアクセスをブロックする」ことで、PCなどのデバイスを守る役割を持っています。導入するとともに、定期的なアップデートが必要となるため、常に最新の状態を保てるように管理しましょう。

デバイスやサーバーを最新の状態に保つ

特別な事情がない限り、デバイスやサーバーは最新の状態にアップデートしておくのがおすすめです。古いバージョンは、どうしても脆弱な部分が見つかりやすく、そこを突いた攻撃を受けるリスクが高くなってしまうのです。

定期的にアップデートを行うか、自動アップデートの設定をして、基礎的なセキュリティの向上を心がけましょう。

WAFを導入する

WAF(Web Application Firewall)とは、WebサイトやWebアプリケーションの防御に特化したセキュリティサービスです。ネットワークの不正な侵入を防ぐ仕組みには、「ファイアーウォール」がありますが、WAFは従来のファイアーウォールで防ぎきれない攻撃から内部を守る役割を持っています。

FTPサーバーを暗号化する

FTP(File Transfer Protocol)サーバーの暗号化も、情報の不正取得や改ざんを防ぐうえで重要な対策となります。FTPとは、ファイル転送規格の一つであり、主にWebサイト用のファイルの送受信に用いられます。

FTPが脆弱な状態だと、利用者のユーザー名やパスワード、ファイルが第三者からも閲覧できるようになってしまい、情報を盗まれるリスクが高まるのです。そこで、暗号化によって外部から見えない状態を保ち、安全性を高める必要があります。

具体的な方法としては、FTPでやりとりされるファイルを「SSL/TLS」によって暗号化する「SSL化」があります。「SSL/TLS」に対応しているサイトは、URLの冒頭が「http://」から「https://」に変化するため、ユーザーからも暗号化しているかどうかがすぐにわかる仕組みです。

IPアドレスやデバイスを制限する

基本的な対策として、Webサイトの管理ページにアクセスできるIPアドレスやデバイスを制限しておくことも重要です。Webサイトを立ち上げる段階で、IPアドレス制限機能やアクセス制限機能を設定しておきましょう。

VPNによる暗号化

VPN(Virtual Private Network)とは、「仮想専用線」と訳される用語であり、第三者から見えない仮想的なトンネルを作って通信する仕組みを指します。ネットワークにおいては、本社と1つの拠点をつなぐ場合のみにしか使えない「専用線」を用いる方法もありますが、1社で通信を独占することとなるため、コストの面から見て現実的とはいえません。

そこで、仮想の専用線を作り、セキュリティの確保とコストの抑制を両立させるのがVPNの特徴です。外部から管理システムにアクセスする必要がある場合は、VPNであらかじめ通信を暗号化しておくと良いでしょう。

ログの取得・監視

Webの改ざんによる被害を防ぐためには、万が一不正な操作が行われてしまったときに、「すぐに検知できる」というポイントも重要となります。そのため、Webサーバーやネットワークのログを監視し、不正アクセスや改ざんの兆候がないかを検知する仕組みを設けることも大切です。

ログをこまめに管理していれば、改ざんの原因究明も速やかに行えるので、リスクマネジメントの観点からも欠かせない手続きをいえるでしょう。

ペネトレーションテストの定期的な実施

「ペネストレーションテスト」は「侵入テスト」と訳されることもあり、システムに疑似的な攻撃を仕掛けて、セキュリティや運用プロセスの脆弱性をあぶり出すための手法です。セキュリティを診断する方法には、ほかにも「脆弱性診断」がありますが、こちらはどちらかといえば全体の安全性をチェックすることに目的があります。

網羅性は非常に高い一方で、実際に攻撃を受けた際にセキュリティシステムが機能するかどうかを細かく検証するわけではありません。そのため、脆弱性診断と並行して、ペネトレーションテストを行うことも重要です。

まとめ

Webサイトは自社のさまざまな情報を発信する重要な役目を担っているだけに、サイバー攻撃の対象となれば、大きな被害を生み出す可能性もあります。まずは具体的な手口や侵入経路を把握し、一つずつセキュリティシステムの精度を向上させていくことが大切です。

また、実際に改ざんされてしまったことを想定して、速やかに検知・改善できる仕組みを整えておくことも大切です。被害を最小限に抑えるためにも、事前の準備を丁寧に進めていきましょう。

デパート採用情報

株式会社デパートでは一緒に働く仲間を募集しています

モチマス ミサ

取締役 CCO モチマス ミサ 英・独に留学後、独にてキュレーターの資格を取得。帰国後に雑誌編集部に入社しWebマガジンの立ち上げを担当しWeb制作に出会う。デパートの前身の会社に転職し、今に至る。 デパート在籍中に、大学にてデータサイエンス / 哲学 / 心理学を修了。 現在、MIT認知科学を専攻中。 休日はロングトレイルハイキング、登山、高校野球観戦。 人生の目標は、サンティアゴ・デ・コンポステーラの巡礼路完歩! Profile