WEBサイト管理者の意図しないページを表示したり、悪質なプログラムを埋め込むことでウイルスをばらまいたりするWEBサイト改ざん。愉快犯的なものから情報や金銭の搾取を狙ったものまで様々です。
ここ数年では、情報や金銭の搾取を狙った犯行が多く、大企業から中小企業まで規模を問わずに被害が相次いでいます。皆さんの会社では、WEBサイト改ざんに対して何らかの対策を取っているでしょうか?
「一社に一つWEBサイト」が当たり前になった時代、サイバー攻撃による脅威はすべての企業が持っているものだと言えます。そこで今回は、WEBサイト改ざんを防ぎ企業の情報や資産を守るために、WEBサイト改ざんの種類と対策をご紹介します。
まだWEBサイトにセキュリティ対策を施していない、あるいは不安があるという方はぜひご覧ください。
WEBサイト改ざんを狙った攻撃の種類
一口にWEBサイト改ざんといっても、攻撃の種類は多岐にわたります。攻撃によって目的や対策も異なるため、まずはどんな攻撃があるのかを知っていきましょう。
SQLインジェクション
SQLはRDBMS(リレーショナルデータベース管理システム)において、データベースを構成したり操作するための言語です。インジェクションは「注入する」という意味なので、SQLインジェクションという攻撃はRDBMSを操作するSQL文を不正に注入することで、データベースを遠隔操作するためのサイバー攻撃です。
WEBサイトに入力可能なフォームがあると、そこから不正なSQL文を注入される可能性があります。SQLインジェクションが成功してしまうと、データベースを不正に操作され、格納されているデータを搾取されたりWEBサイトを改ざんされてしまうため、十分な警戒が必要です。
OSコマンドインジェクション
SQLインジェクション同様に、サーバに対して不正文字列を送信することで遠隔操作を行います。ただし、送信するのはSQL文ではなくOSコマンドという、WindowsやLinuxなどのOSに命令を実行させるための言語です。
OSコマンドインジェクションはプログラムに与えるパラメータにコマンド(命令文)を不正に注入し、それを受けたOSがコマンドを実行してしまい、WEBサイト改ざんや情報漏えいといったセキュリティ事件に至ります。
クロスサイトスクリプティング
クロスサイトスクリプティングはWEBサイトにスクリプト(簡易プログラム)を埋め込むことで、管理者の意図しない挙動を起こさせる攻撃です。さらに、動的ページに発生しやすい脆弱性であり、埋め込む場所はSQLインジェクションなどと同じように入力フォームを使います。¥
不正に埋め込まれたスクリプトが実行されてしまうと、WEBサイトを訪れたユーザーが関係のないWEBページに誘導されてしまったり、セッション情報を抜き取られてアカウントが乗っ取られてしまったり、個人情報を搾取されたりします。
ディレクトリトラバーサル
ディレクトリトラバーサルとは、WEBサイト管理者がアクセスを許可していないサーバディレクトリへ不正にアクセスし、情報を直接的に抜き取るというものです。ちなみにディレクトリとはデータの置き場所を示すもので、このディレクトリを推測可能なものに設定していると、情報漏えいの危険性が大きく上昇してしまいます。
パスワードリスト攻撃
パスワードリスト攻撃は何らかの方法で入手した不特定多数のアカウントIDおよびパスワードを使用して、WEBサイトへの不正ログインを試みるという攻撃です。たとえばサイトAから搾取したアカウントIDとパスワードを使って、サイトBへの不正ログインを試みます。複数のWEBサイトで同じアカウントIDとパスワードを使用しているユーザーが多いため、被害が絶えません。
ゼロデイ攻撃
OSや業務アプリケーションといったソフトウェアで脆弱性が発見され、対策が取られるまでの間を狙ったのがゼロデイ攻撃です。この攻撃の怖いところは、対処の手立てが少ない上に、気付かない間に被害に遭っていることです。従って厳重に警戒すべきサイバー攻撃の一つです。
ブルートフォースアタック
ブルートフォースアタックは総当たり的に不正アクセスを試みる攻撃です。専用プログラムを実行して、該当するパスワードに当たるまで様々な文字列を入力します。たとえば6文字のパスワードを破るのは15秒ほどなので、不正アクセスの危険性が高い攻撃です。
WEBサイト改ざんを防ぐために実行したいこと
先述したサイバー攻撃以外にも、WEBサイト管理者にウイルス感染したファイルを送信し、感染に成功するとWEBサイト改ざんに至るなど様々な攻撃の種類があります。それらの脅威からWEBサイトを保護するためには、何が必要なのでしょうか?
不正文字列のサニタイジング(無害化)をする
サニタイジングというのは、入力フォームなどに不正に注入されたSQL文やOSコマンド分、あるいはHTMLタグなどを検出して、無害な他の文字列に置き換える操作です。この対策が取れていないと、SQLインジェクションやOSコマンドインジェクションなど危険なサイバー攻撃を簡単に許してしまいます。
特殊文字のエスケープ
特殊文字とは「<」や「>」といった文字のことで、これらの特殊文字が認識されるようになっていると、不正にタグを注入されてしまう可能性があります。不正スクリプトを注入するクロスサイトスクリプト等は、この脆弱性を狙った攻撃です。そこで、「<」や「>」などを特殊文字として認識させないことで不正タグの注入を防ぎ、これをエスケープと言います。
推測不可能なパスワードを使用する
最も基本的な対策です。WEBサイト管理者用のアカウントなどは、パスワードリスト攻撃やブルートフォースアタックなどの被害に遭いやすく、一度不正アクセスを許してしまえば被害は急速に拡大します。そこで、パスワードは推測不可能なものに設定しましょう。推奨は10文字以上で英数字や特殊文字を混ぜることで、これだけでもブルートフォースアタックによる被害を防げます。さらに、パスワードは複数のWEBサイトで使いまわさないように注意しましょう。
ソフトウェアを常に最新の状態に
ソフトウェア提供事業者が定期的に配信するアップデートの中には、重要なセキュリティ更新プログラムが含まれている可能性があります。そうしたアップデートに常に対応していなければ、WEBサイトは脆弱性を持ったまま運営していることになるため、サイバー攻撃の危険性が大幅に上がります。配信されたアップデートは後回しにせず、内容を確認した上で適用し、ソフトウェアが常時最新の状態を保てるようにしましょう。
改ざん検知を導入する
改ざん検知とは、社内のシステムやファイルに加えられた変更を検知して、不正なものかどうかを判断し検知するためのセキュリティシステムです。WEBサイト改ざんに対して独自に取れる対策には限界があるため、改ざん検知などのセキュリティシステムが必要になります。
「うちは大丈夫」が命取りに…
情報セキュリティに明るくない企業の中には、「うちを狙う攻撃者なんていないから大丈夫」と、十分な対策を取らない場合があります。実際はというと、WEBサイトのドメインを公開している限り改ざんの危険性はあり、中小企業でも大規模なセキュリティ事件になることが少なくありません。この機会に、セキュリティシステムを活用してWEBサイト改ざん対策をご検討ください。
トリップワイヤでは、ITシステムへの徹底した変更管理でセキュリティを可視化し、改ざん検知、情報漏洩(漏えい)・標的型攻撃対策を強力にサポートするソリューションを用意しています。
トリップワイヤのソリューションラインナップも合わせてご確認ください。
