IPA独立行政法人※1が2016年4月に発表した「情報セキュリティ10大脅威」によると、Webサイト改ざんは総合順位で6位。今後最も注意すべき脅威の一つとなっています。
不正アクセスやSQLインジェクションなどいくつかの手法でWebサーバやWebアプリケーションを不正に操作し、運営者が意図しない形へと改ざんしていきます。
改ざんされたWebサイトは企業システム内へと侵入するバックドアを設定されたり、Webサイトにアクセスするユーザへマルウェアを感染させる媒介ともなってしまうのです。
被害者にも加害者にもなり得るWebサイト改ざんを防ぐためにはどうすればいいのか?いくつかのパターンから対策を解説していきます。
※1:IPA(Information-technology Promotion Agency)独立行政法人とは日本のIT分野における競争力の総合的強化のために組織された、経済産業省所管の独立法人。
Webサイト改ざんのパターン
パターンA:ソフトウェアの脆弱性を狙った攻撃
ほとんどのソフトウェアやOSには脆弱性というセキュリティ上の“穴”(セキュリティホール)が存在しています。
これはシステム設計上のミスが原因で発生したものであり、完璧に無くすことはほぼできません。
だからこそソフトウェアベンダーは定期的なアップデートで脆弱性に対するセキュリティパッチ(修正プログラム)を提供しているのです。
こうした脆弱性が発見されるとすぐに攻撃者のターゲットとなり、Webサイト改ざんを容易に許してしまいます。
パターンB:SQLインジェクションを使用した攻撃
SQLインジェクションとは脆弱性攻撃の一種でありシステム設計上のミスがあるWebアプリケーションに想定されていないSQL文を実行させることにより、データベースシステムを不正に操作しようとします。
一度攻撃が成功してしまうとアカウント情報漏えいの可能性もあるので、その後の対策が非常に難しくなります。
パターンC:管理用PCをマルウェアに感染させる
Webサイト管理用のPCにはアカウント情報などが保存されていることが多いので、マルウェアに感染させることでWebサイトを改ざんすることができます。
マルウェアを感染させる主な手法としては標的型メール攻撃が挙げられます。
Webサイト改ざんによる影響
オリジナルページの不正変更
Webサイト本来のページからいたずら的な表示や攻撃者の主張を表示するページへと変更されてしまいます。
企業システムやアクセスしたユーザへの影響はほぼありませんが、変更されたことにより信頼性を欠く可能性があります。
企業システム内への侵入および情報搾取
Webサイト改ざんによりWebサーバやWebアプリケーションにバックドアを設置され、企業システム内へ侵入される可能性があります。
秘密裏に行われていることが多くほとんどの管理者は侵入に気付きません。
そして攻撃者はここを足がかりに長期的な情報搾取を行っていくのです。
アクセスユーザに対するマルウェアの感染
ユーザがWebサイトにアクセスした際、マルウェアに感染したドライバを不正にダウンロードさせるようシステムに変更が加えられます。
恐いのは被害者になるだけでなく加害者にもなり、ユーザからの信頼を大きく欠いてしまうということです。
取引先からの信頼陥落
Webサイト改善に被害に遭うとそれだけでセキュリティ上の責任を問われるので、取引先からの信頼が陥落してしまいます。
億単位での被害損額
JNSA(NPO法人日本ネットワークセキュリティ協会)が2016年6月に発表した「2015年 情報セキュリティインシデントに関する調査報告書 速報版 」によると、2015年の情報漏洩インシデント件数は799件。1件あたりの平均被害損額は3億3,705万円に上っています。
これはWebサイト改ざん以外も含む、そしてあくまで平均値ですが、たった1度の情報漏えいで多額の損害が発生することがわかりますね。
今後取るべきWebサイト改ざん対策
セキュリティプログラムのアップデートを見逃さない
ソフトウェアベンダーから配信されるセキュリティプログラムのアップデートは迅速に対応する必要があります。
アップデートしないということは脆弱性を放置している状態なので非常に危険です。
優先度を高め、後回しにしないよう注意しましょう。
不正な入力値による処理を防ぐ
SQLインジェクションではSQL文によってシステムを操作するので、不正な入力値に関しては処理を無効にする対策が必要です。
あるいはシステムで利用するデータベースのアカウント権限を最低限のものに留めるよう設定しておきましょう。
不審なメールはそもそも開かない
年々巧妙化し偽装メールを見分けることは難しくなっています。しかし、少しでも怪しいと感じたメールは開かないことでセキュリティ性を大きく向上させることができるのです。
万が一、不審なメールを発見したら決して開かず、すぐに管理責任者に報告するよう意識を共有しておくことが大切です。
アカウントIDを決して他者に漏らさない
管理者のアカウントIDやパスワードに関しては社内の人間であろうと決して口外しないこと。相手に悪意がなかったとしてもそこから漏れてしまうことは十分に考えられます。
それでも完璧ではないWebサイト改ざん対策
そもそもセキュリティに100%はありません。サイバー攻撃は日々急激な速度で進化しているので、すべてをブロックすることはまず不可能でしょう。
そこで重要になるのが“攻撃を前提として”行うWebサイト改善対策。つまりすべてをブロックしようと考えるのではなく、万が一攻撃された場合を考え対策を取っておくことです。
100%のブロックを目指すセキュリティ対策は言わば“兵士不在の城”であり、一度侵入を許してしまえば情報を守る術はありません。
それならば城の壁を高く厚くするよりも兵士を配備した方がよほど強力なセキュリティを敷くことができるでしょう。
そしてこうした対策方法を取れるのが改ざん検知システムというセキュリティソリューションです。
改ざん検知システムで監視することにより些細な改ざんでも見逃さず、Webサイトはもちろん企業システム全体のセキュリティ性を高めることができます。
Tripwire® Enterpriseは、幅広いデバイスに対してセキュリティを維持するための豊富な機能があります。強力な変更監査により様々なデバイスの変更を発見し、改ざんをリアルタイムに検知します。
まとめ
いかがでしょうか?Webサイト改ざんは現在深刻化しているサイバー攻撃の一つですが、取れる対策はいくらでもあります。
そのいくつかの対策の中に“攻撃を前提とした”セキュリティ対策を取り入れることで、セキュリティ性は大幅に向上するでしょう。
Webサイト改ざんによって被害者にも加害者にもならないために、今回紹介したポイントを押さえつつTripwire Enterpriseをはじめとした改ざん検知システムの導入を検討してみてはいかがでしょうか?