Webサイト改ざんとは、主に企業Webサイトを対象にWebページを改ざんしたり、不正プログラムを組み込むことでユーザー情報の搾取または悪質なウイルスのばら撒きなどを目的としてサイバー攻撃の一種です。
近年増加傾向にあるサイバー攻撃の中でも、Webサイト改ざんはドメインを公開している全ての企業が攻撃対象となるため、強く警戒すべきサイバー攻撃の一つと言えます。
本稿ではWebサイト改ざんへのセキュリティ意識を高めていただくために、その手口と対策をご紹介します。
Webサイト改ざんの主な経路は3つ
一口にWebサイト改ざんといっても多様な手口があり、Webページを管理者が意図していないものにすり替えたり、不正プログラムを組み込むものなど様々です。ただし、攻撃を実行する経路は大まかに3つに分類されます。
≪脆弱性を突いた攻撃≫
脆弱性とはプログラムに潜むセキュリティ上の弱点のことで、すべてのプログラムには何らかの脆弱性が潜んでいる可能性があります。
なぜ脆弱性が発生してしまうかというと、主な原因はプログラムを書く際にセキュリティを100%意識した作成ができないからです。あるいは、プログラムを改修した際などにも脆弱性が発生しやすく、Webサイト改ざんの攻撃経路の一つとなっています。
特にWebサイトはオープンソースのソフトウェアを活用していたり、プログラム改修が多いことから脆弱性が発生しやすいため、安易にWebサイト改ざんを許してしまうケースが少なくありません。
昨年2月にはオープンソースのCMS(コンテンツ管理システム)として世界的なシェアを持つWordPressにて重大な脆弱性が発見され、延べ150万以上のWebサイトが改ざん被害に遭いました。
≪管理者PC経由の攻撃≫
意外にも、管理者PCがWebサイト改ざんの経路になっていることが少なくありません。たとえば管理者PCのアカウントIDやパスワードが漏えいしてしまうと、Webサイトに正規ルートでログインして、直接改ざんを加えられることがあります。管理者PCの情報が漏えいしてしまう原因は様々で、最近では他のWebサイトから漏えいしたアカウントIDやパスワードが悪用して、管理者PCを不正利用するケースが増えています。
他にも、USBドライブなどのメディアに感染したウイルスによって情報漏えいが起きたりと、管理者のセキュリティ意識が明暗を分けることになります。
≪パスワードリスト攻撃≫
パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。
この場合、パスワードリスト攻撃によってアカウントIDやパスワードが漏えいし、不正ログインに至る危険が大いにあります。
以上がWebサイト改ざんの主な攻撃経路です。
Webサイト改ざんの手口と対策
それでは実際のWebサイト改善の手口と、その対策について紹介します。
SQLインジェクション
RDBMS(リレーショナルデータベース管理システム)において、データベースの操作や定義を行うための言語がSQLです。このSQLを悪用して、データベース内の情報を搾取したり改ざんする攻撃をSQLインジェクションと呼びます。
たとえば会員申込フォームを設けているWebページの入力欄において、SQLの不正文字列を入力することでデータベースが直接操作されてしまいます。Webサイト改ざんの手口の中でも攻撃頻度が多く危険度が高い攻撃です。
≪対策≫
不正文字列による処理を防いだり、データベースから返されるエラーメッセージをそのまま表示しないといった対策が必要です(攻撃のヒントを与えないために)。さらに、アクセスログから攻撃数を検出して、定期的に攻撃を解析することも大切です。
クロスサイトスクリプティング(XSS)
ユーザーの操作に応じて異なるWebページを生成する場面にて、HTMLやCSSといったコードに不正スクリプト(簡易プログラム)を組み込むのがクロスサイトスクリプティングという攻撃です。
たとえば不正スクリプトが組み込まれてしまうと、ユーザーが特定のリンクをクリックした際に、それとは気付かずに本来とは異なるWebページに誘導されてしまい、そこでフィッシング詐欺やアカウント情報漏えいなどに至ります。
この他、ユーザーがログインした際の情報を取得した、アカウント乗っ取りなどの被害にも繋がる恐ろしい手口です。
≪対策≫
主な対策にサニタイジング(無害化)があります。サニタイジングとは、組み込まれた不正スクリプトの実行を無効にするもので、そのためにはWebサイトのコードを細かく確認し、クロスサイトスクリプティングの脆弱性がある場所を特定することが大切です。
ゼロデイ攻撃
ゼロデイ攻撃とは、サーバOSやWebアプリケーションなどの脆弱性が発見されてから対策が立てられるまでの間を狙ったサイバー攻撃です。まだ対策がない状態で攻撃を受けるため、高い確率でWebサイト改善を許してしまいます。先述したWordPressの脆弱性もゼロデイ攻撃によって被害が大きく拡大しました。
≪対策≫
まずソフトウェア事業者が配信するセキュリティ更新プログラムを迅速に適用することが大切です。いつまでの脆弱性を放置していると、気付いたらWebサイトが改ざんされています。他には、改ざんを検知するセキュリティシステムや、脆弱性をカバーするセキュリティシステムを導入するなどして対策します。
標的型攻撃
標的型攻撃はターゲットとなるWebサイト管理者に対して偽装してメールを送信し、添付されたファイル(ウイルスに感染した)を実行させることで、端末を感染しアカウント情報を搾取します。この手口の怖いところは、非常に巧妙なメール文によってセキュリティシステムを導入していても100%の防御が難しい点です。攻撃者はターゲットとなる管理者の商習慣などを調査した上で、顧客や取引先、あるいは政府機関などを装ってメールを送信します。メール文からサイバー攻撃だと気づくことは難しく、ゆえに多くの企業がその被害に遭っています。
≪対策≫
管理者や社員のセキュリティ意識を高めることはもちろん、最も重要なことは情報共有です。少しでも怪しいメールを受信したり、セキュリティ担当者に連絡しメール文の内容や送信元の情報を全社で共有します。こうすることで、少しでも標的型攻撃を検知する可能性が上がり、Webサイト改ざんを防ぐことができます。
まとめ
一社に一つ以上のWebサイトが当たり前に時代。ドメインを公開している全ての企業は、Webサイト改善の攻撃対象です。さらに、ほとんどのWebサイトがサイバー攻撃を受けているため、まだ被害がないという企業は単に攻撃が失敗しているに過ぎません。たとえ100万回攻撃が失敗しても、たった1回でも攻撃が成功してしまえば、被害は甚大なものになります。Webサイト改ざんの脅威から企業の信頼や資産を守るためにも、一度Webサイトのセキュリティ診断を実施してみてください。
