Webサイト改ざん、4つの手口とその対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webサイト改ざん、4つの手口とその対策

2017/07/18


  2017年初頭、セキュリティの啓蒙活動を行うWebサイトが改ざん被害に遭った。最悪の場合、自社サイトがマルウェア配布サイトに変えられてしまい、加害者の立場となる可能性もある。あらためてWebサイトの改ざん対策についておさらいしておこう。

Webサイト改ざん対策

「Webサイト改ざん」、あなたの企業は被害者のみでいられるか

 2017年1月、「フィッシング対策協議会」のWebサイトが改ざんの被害に遭った。幸いなことにマルウェアのダウンロードを行わせるなど悪質な内容ではなかったが、セキュリティ情報をアピールするキャンペーンサイトが改ざんされたことで、多くの注目を集めてしまった。

 もはやWebサイトは企業の「顔」だ。Webサイトの改ざんは、その顔に泥を塗られる行為ともいえる。コンピュータセキュリティにおける日本のインシデント対応を支援するJPCERTコーディネーションセンターのレポートによると、Webサイト改ざんの件数は毎年一定数報告されており、2017年〜3月においては前四半期の件数の48%増だった。

図1 Webサイト改ざん件数推移
図1 Webサイト改ざん件数推移
出典:JPCERT/CC「インシデント報告対応レポート 2017年1月1日〜2017年3月31日

 報告には、Webサイトを閲覧するとテキストとボタンが表示されるポップアップ画面が開き、それをクリックするとexeファイルがダウンロードされるケースがあった。この実行ファイルは、PC上のファイルを勝手に暗号化し、解除キーと引き換えに金銭を要求するランサムウェアだった。

 現在主流のマルウェアは「Webサイト」か「電子メール」を経由して感染する。少し前までであれば、Webサイトからの感染は「怪しいサイト」の閲覧によるものが多かった。その対策としてWebフィルタリングツールを導入し、業務に関係ない不適切なWebサイトの閲覧を禁止する企業も多い。

 だが、この対策は悪意を抱くものにとっても既知のものだ。そこで、「正規のWebサイトを改ざんし、そこにマルウェアを埋め込む」ことで攻撃の成功率を上げようとする。つまり、あなたの企業がWebサイトの改ざんにより「マルウェア配布サイト」になる可能性もあるのだ。

 Webサイト改ざんの被害に遭った時、企業は「被害者」であると同時に、閲覧者を感染させる「加害者」にもなってしまう。一度「加害者」になった企業は、信頼回復のために多くの労力が必要となるだろう。

 Webサイトの改ざん対策は業種、業態にかかわらずWebサイトを持つ全ての企業で必須のものとなった。そこで今回のセキュリティ強化塾では「Webサイト改ざん」に対抗するための考え方を紹介しよう。


1

Webサイト改ざんの手口

 Webサイトの改ざんは、大きく分けて4つの侵入経路がある。管理者や運用者のIDとパスワードを窃取して組織に入り込む方法、WebサーバやミドルウェアなどWebサイトが使用するソフトウェアの脆弱(ぜいじゃく)性を突く方法、CMSやプラグインなどのWebアプリケーションの脆弱性を突く方法、そして組織内のアクセス不備を突いて内部から改ざんする方法だ。

図2 Webサイト改ざんの4つの手口
図2 Webサイト改ざんの4つの手口
出典:IPA「ウェブサイト改ざんの脅威と対策

 この問題で最も気を付けるべき点は、Webサイトの改ざんは「もはや目で見て確認できない」ということだ。

 冒頭に紹介したフィッシング対策協議会のWebサイト改ざんでは、攻撃者が自分の行動をアピールするために分かりやすくトップページを変更した。しかし、「水飲み場攻撃」と表現される攻撃では、Webサイトをひっそりと改ざんし、閲覧した利用者を別の攻撃サイトにリダイレクトするような攻撃コードを埋め込む。

 その多くは、利用者やセキュリティベンダー、JPCERTコーディネーションセンターなどからの報告で初めて改ざんに気付く。この場合、既に二次被害が発生している可能性が高い。

 そのため、4つの手口を未然に防ぐ方法だけでなく、「気付く」ための方法も考えておきたい。この対策はWebサイト改ざんに限らず、システムへの侵入、システムの不正操作を防ぐことにもつながる。おさらいの意味も含め、これらの対策を考えてみよう。

1-1

第1の対策:社内のIDとパスワードの管理を徹底する

 Webサイトの運用、管理のフローで利用するIDやパスワードが窃取されてしまうと、正規の入り口から堂々とWebサイトの改ざんが行われてしまう。Webサーバに接続するためのFTP(SFTP)、SSHなどのアカウント情報は厳重に管理する必要がある。

 もしも複数のメンバーでWebサイトを管理しているにもかかわらず、IDとパスワードを「共有アカウント」として運用している場合は注意が必要だ。アクセスログを見ても誰が作業を行っているのかが判断できない場合がある。悪意ある攻撃者を排除するためにも、アカウントは運用者ごとに分けることを強くお勧めする。

セキュリティ情報局にご登録頂いた方限定で「Webサイト改ざん、4つの手口とその対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webサイト改ざん対策/Webサイト改ざん、4つの手口とその対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webサイト改ざん対策」関連情報をランダムに表示しています。

「その他ネットワークセキュリティ関連」関連の製品

サイバー攻撃可視化プラットフォーム Arbor Networks Spectrum 【アーバーネットワークス】 クラウド型セキュリティサービス InterSafe GatewayConnection 【アルプス システム インテグレーション】 ネットワーク分離ソリューション 【アクシオ】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
企業に対する脅威やサイバー攻撃を発見、迅速な対応を行うためのプラットフォーム。サイバー攻撃による企業のビジネスリスクを低減する。 クラウドのセキュアWebゲートウェイにおいて、独自の解析技術により、マルウェア配布サイトへのWebアクセスやC&Cサーバへの不正通信をブロックする出口対策を提供。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。

「その他ネットワークセキュリティ関連」関連の特集


情報流出、データ改ざん…Webサイトを狙う攻撃は後を絶ちません。実際の被害事例から現状のセキュリティ…



 前回は、ノマドワーキングにおいてセキュリティ脅威となる可能性がある「ネットワークを介した攻撃」と、…



 前回は、「クラウド」を利用したセキュリティ対策について、簡単な例とともに説明したが、今回は、さらに…


「その他ネットワークセキュリティ関連」関連のセミナー

これからのセキュリティ人材育成 【トレノケート】  

開催日 12月12日(火)   開催地 大阪府   参加費 無料

標的型攻撃、ランサムウェア、情報漏えい・・・。どれも企業にとっては頭の痛い問題です。少し早いですが、本セミナーでは2017年を振り返り、来年に向けてセキュリティ…

カード業界セキュリティ PCI DSS導入実践コース ベーシック 【BSI グループジャパン】  

開催日 12月4日(月),1月22日(月),4月18日(水)   開催地 東京都   参加費 有料 5万4000円(税込み)

東京オリンピックの2020年開催に向け、政府はクレジットカードを世界で最も安全に利用できる環境作りを、閣議決定しました。これを受けて金融庁・経産省はじめ6省庁は…

カード業界セキュリティ PCI DSS導入実践コース アドバンス 【BSI グループジャパン】  

開催日 10月23日(月)〜10月24日(火),2月13日(火)〜2月14日(水)   開催地 東京都   参加費 有料 8万6400円(税込)

東京オリンピックの2020年開催に向け、政府はクレジットカードを世界で最も安全に利用できる環境作りを、閣議決定しました。これを受けて金融庁・経産省はじめ6省庁は…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30009761


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ