WEBサイト改ざんは会社の規模や業種にかかわらず、WEBサイトを運営している以上攻撃を受ける危険があります。皆さんの会社では、WEBサイト改ざんに対してどれ程の危機感を持っているでしょうか?
中には「WEBページが勝手に変えられるだけで、大した被害はないでしょう?」と楽観視している場合もあるかもしれません。
攻撃者がWEBサイト改ざんを行う理由は様々であるため、被害は事件によって違います。ほとんど被害が無かったというケースもあれば、被害総額が1億円以上にのぼったというケースもあります。
参考:IPA「ウェブサイト改ざんの脅威と対策~ 企業の信頼を守るために求められること ~」
WEBサイトは24時間365日、常に改ざんの脅威にさらされています。まだ有効な対策を取れていないという場合は、この機会にセキュリティの導入を検討してみてはいかがでしょうか。そこで今回は、WEBサイトの改ざん検知に使えるフリーソフトをご紹介します。同時にフリーソフトの注意点も紹介しますので、合わせてご確認ください。
WEBサイトの改ざん検知フリーソフト
gred
gredは株式会社セキュアイレブンが開発した無料のWEBサイト診断サービスです。同社はフィッシング詐欺を中心にインターネット上の脅威からユーザーを守るセキュリティソリューションを提供する会社です。いくつかあるサービスのうちの、機能を一部無料で公開したのがgredになります。
使い方は非常にシンプルで、まずはgredの「チェックサイト」を起動し、入力欄に診断したいWEBサイトのURLを入力します。「CHECK」ボタンをクリックすれば診断がスタートし、そのWEBサイトが安全な場合はグリーン、危険な場合はレッドで結果が表示されます。
無料なのでかなり機能が制限されているため、一度簡単にWEBサイトの診断してみたい場合におすすめです。正確には改ざん検知ではなくWEBサイト診断になるので、改ざんが発生した際にアラートしてくれるようなサービスではありません。
AIDE(Advanced Intrusion Detection Environment)
AIDEはファイル改ざん検知のオープンソースソフトウェア(OSS)です。ライセンスが無償で提供されているため、導入や改修および再配布が無料で行えます。OSSの改ざん検知としては、おそらく世界で最も導入されています。日本においても運用に関する情報が豊富なため、技術さえあれば有効な選択肢の一つです。
仕組みを簡単に説明すると、AIDEはインストールしたサーバ上のファイルを監視して、変更があると管理者に通知します。
WEBサイト改ざんとはつまるところファイルの改ざんであるため、AIDEを導入すれば改ざんを効率良く検知できます。ただし、WEBサーバ上にインストールしなければならないためリソースに負荷がかかること、運営にはセキュリティシステムに関する技術が必要になるのでご注意ください。
参考サイト:「AIDE」
Site Security Center
Trend Micro社が提供する無料のWEBサイト診断サービスです。gred同様に診断したいWEBサイトのURLを入力し、「今すぐ確認」をクリックすれば診断がスタートします。結果は「安全」「危険」「不審」「未評価」の4段階で診断され、「危険」や「不審」なら既に不正なプログラムが組み込まれているか、過去に改ざんされた可能性があります。
gredよりも少し高度な診断ができるかもしれないものの、同様に改ざんを検知してアラートしてくれるようなサービスではありません。
inotify
inotifyはLinuxサーバのバージョン2.6.13からリリースされた改ざん検知機能のAPIです。APIとは、既に存在するプログラムを呼び出して使う機能のことで、inotifyをAPIとして組み込むことで改ざん検知が可能になります。監視対象となるファイルが変更や追加または削除された場合にアラートし、改ざんされたファイルを教えてくれます。
LinuxサーバだけでなくWindowsサーバやその他の製品でも使用できるため、技術があればこちらも有効な選択肢になります。
参考サイト:「inotify」
フリーソフトの改ざん検知を使用する注意点
フリーソフトとして利用できる改ざん検知には、製品コストがかからないというメリットがあります。セキュリティシステムは高価なものも多いため、製品コストがかからないことは非常に魅力です。ただし、使用する上での注意点もあります。
商用ソフトと比べて検知能力が弱い
無料はあくまで無料なので、やはり商用ソフトと比べると検知能力に劣ります。たとえばAIDEはファイルが改ざんされた際の検知はしてくるものの、自動で改ざんを修正するような機能はありません。さらに、監視対象となるサーバひとつひとつにインストールする必要があるため、システム運用の負担がかなり大きくなってしまいます。
一方の商用ソフト、たとえばTripwire Enterpriseならば検知能力もその範囲もフリーソフトとは大きく違うため、社内システム全体の改ざん検知を単一の管理画面で行えるというメリットがあります。
コストが一切かからないわけではない
フリーソフトは製品コスト自体はかかりません。ただし、商用ソフト同様に運用コストはかかります。商用ソフトならば導入企業の運用効率を考慮したシステム設計を取っているため、フリーソフトの方が運用の手間や負担が多かったりします。
長期目線で見ると、フリーソフトの運用コストが商用ソフトの運用コストを上回る可能性もあるので、広い視野で検討することが大切です。
ベンダーのサポートが無い
セキュリティに100%はありません。どんなに効果的な対策を講じても、新たなサイバー攻撃によって情報漏えいなどが発生する可能性はありません。そのため、改ざん検知を導入するにあたって重要な項目の一つがベンダーサポートです。
特にセキュリティにあまり明るくない企業の場合、ベンダーサポートでセキュリティを強化することが少なくないため、ベンダーサポートの無いフリーソフトでは問題が発生しやすくなります。
以上のように、フリーソフトの改ざん検知には製品コストがかからないというメリットはあるものの、それ以上に注意点があることを念頭に置いてください。
改ざん検知で早急なWEBサイト保護を
WEBサイトは、1日に10件以上のペースでサイバー攻撃の被害に遭っています。中でもWEBサイトは特に被害数が多いため、まだ有効な対策を取れていないという企業は、今回紹介した内容を踏まえて改ざん検知の導入を行いましょう。企業の信頼と資産を守るためにも、具体的にご検討ください。
