Webサイト改ざん、4つの手口とその対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webサイト改ざん、4つの手口とその対策

2017/07/18


  2017年初頭、セキュリティの啓蒙活動を行うWebサイトが改ざん被害に遭った。最悪の場合、自社サイトがマルウェア配布サイトに変えられてしまい、加害者の立場となる可能性もある。あらためてWebサイトの改ざん対策についておさらいしておこう。

Webサイト改ざん対策

「Webサイト改ざん」、あなたの企業は被害者のみでいられるか

 2017年1月、「フィッシング対策協議会」のWebサイトが改ざんの被害に遭った。幸いなことにマルウェアのダウンロードを行わせるなど悪質な内容ではなかったが、セキュリティ情報をアピールするキャンペーンサイトが改ざんされたことで、多くの注目を集めてしまった。

 もはやWebサイトは企業の「顔」だ。Webサイトの改ざんは、その顔に泥を塗られる行為ともいえる。コンピュータセキュリティにおける日本のインシデント対応を支援するJPCERTコーディネーションセンターのレポートによると、Webサイト改ざんの件数は毎年一定数報告されており、2017年〜3月においては前四半期の件数の48%増だった。

図1 Webサイト改ざん件数推移
図1 Webサイト改ざん件数推移
出典:JPCERT/CC「インシデント報告対応レポート 2017年1月1日〜2017年3月31日

 報告には、Webサイトを閲覧するとテキストとボタンが表示されるポップアップ画面が開き、それをクリックするとexeファイルがダウンロードされるケースがあった。この実行ファイルは、PC上のファイルを勝手に暗号化し、解除キーと引き換えに金銭を要求するランサムウェアだった。

 現在主流のマルウェアは「Webサイト」か「電子メール」を経由して感染する。少し前までであれば、Webサイトからの感染は「怪しいサイト」の閲覧によるものが多かった。その対策としてWebフィルタリングツールを導入し、業務に関係ない不適切なWebサイトの閲覧を禁止する企業も多い。

 だが、この対策は悪意を抱くものにとっても既知のものだ。そこで、「正規のWebサイトを改ざんし、そこにマルウェアを埋め込む」ことで攻撃の成功率を上げようとする。つまり、あなたの企業がWebサイトの改ざんにより「マルウェア配布サイト」になる可能性もあるのだ。

 Webサイト改ざんの被害に遭った時、企業は「被害者」であると同時に、閲覧者を感染させる「加害者」にもなってしまう。一度「加害者」になった企業は、信頼回復のために多くの労力が必要となるだろう。

 Webサイトの改ざん対策は業種、業態にかかわらずWebサイトを持つ全ての企業で必須のものとなった。そこで今回のセキュリティ強化塾では「Webサイト改ざん」に対抗するための考え方を紹介しよう。


1

Webサイト改ざんの手口

 Webサイトの改ざんは、大きく分けて4つの侵入経路がある。管理者や運用者のIDとパスワードを窃取して組織に入り込む方法、WebサーバやミドルウェアなどWebサイトが使用するソフトウェアの脆弱(ぜいじゃく)性を突く方法、CMSやプラグインなどのWebアプリケーションの脆弱性を突く方法、そして組織内のアクセス不備を突いて内部から改ざんする方法だ。

図2 Webサイト改ざんの4つの手口
図2 Webサイト改ざんの4つの手口
出典:IPA「ウェブサイト改ざんの脅威と対策

 この問題で最も気を付けるべき点は、Webサイトの改ざんは「もはや目で見て確認できない」ということだ。

 冒頭に紹介したフィッシング対策協議会のWebサイト改ざんでは、攻撃者が自分の行動をアピールするために分かりやすくトップページを変更した。しかし、「水飲み場攻撃」と表現される攻撃では、Webサイトをひっそりと改ざんし、閲覧した利用者を別の攻撃サイトにリダイレクトするような攻撃コードを埋め込む。

 その多くは、利用者やセキュリティベンダー、JPCERTコーディネーションセンターなどからの報告で初めて改ざんに気付く。この場合、既に二次被害が発生している可能性が高い。

 そのため、4つの手口を未然に防ぐ方法だけでなく、「気付く」ための方法も考えておきたい。この対策はWebサイト改ざんに限らず、システムへの侵入、システムの不正操作を防ぐことにもつながる。おさらいの意味も含め、これらの対策を考えてみよう。

1-1

第1の対策:社内のIDとパスワードの管理を徹底する

 Webサイトの運用、管理のフローで利用するIDやパスワードが窃取されてしまうと、正規の入り口から堂々とWebサイトの改ざんが行われてしまう。Webサーバに接続するためのFTP(SFTP)、SSHなどのアカウント情報は厳重に管理する必要がある。

 もしも複数のメンバーでWebサイトを管理しているにもかかわらず、IDとパスワードを「共有アカウント」として運用している場合は注意が必要だ。アクセスログを見ても誰が作業を行っているのかが判断できない場合がある。悪意ある攻撃者を排除するためにも、アカウントは運用者ごとに分けることを強くお勧めする。

セキュリティ情報局にご登録頂いた方限定で「Webサイト改ざん、4つの手口とその対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webサイト改ざん対策/Webサイト改ざん、4つの手口とその対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webサイト改ざん対策」関連情報をランダムに表示しています。

「その他ネットワークセキュリティ関連」関連の製品

セキュリティアプライアンス Aterm SA3500G 【NECプラットフォームズ】 シマンテック SSL サーバ証明書 【シマンテック・ウェブサイトセキュリティ】 サイバー攻撃可視化プラットフォーム Arbor Networks Spectrum 【アーバーネットワークス】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
既存ネットワーク構成を変えずに簡単に導入可能。分かりやすい価格設定で中小規模の法人ユーザ向けに最適なUTM(セキュリティアプライアンス)。 最新ウェブサイト攻撃の被害データと攻撃傾向を徹底解説 企業に対する脅威やサイバー攻撃を発見、迅速な対応を行うためのプラットフォーム。サイバー攻撃による企業のビジネスリスクを低減する。

「その他ネットワークセキュリティ関連」関連の特集


あの手この手の“騙しテクニック”で個人情報を奪おうとするフィッシング詐欺。複雑化した最近の攻撃傾向に…



 キーマンズネット読者のみなさま、はじめまして。アルプス システム インテグレーション株式会社(AL…



若気の至りで書き込んだ、Facebookのあの情報を何とかしたいが・・・「忘れられる権利」に関するE…


「その他ネットワークセキュリティ関連」関連のセミナー

Security Days Fall 2017 東京 【ナノオプト・メディア】 締切間近 

開催日 9月27日(水)〜9月29日(金)   開催地 東京都   参加費 無料

「標的型攻撃」「ランサムウェア」「情報漏えい」「クラウド」、「IoT」など注目のセキュリティトピックを一挙に解説!┏━━━━━━━━━━━━━━━━━━━━━━…

Security Days Fall 2017 大阪 【ナノオプト・メディア】 締切間近 

開催日 9月26日(火)   開催地 大阪府   参加費 無料

◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆        〜 最新の脅威動向とセキュリティ対策が集結するセミナー…

分離・無害化技術によりマルウェアを100%防御する方法 【NRIセキュアテクノロジーズ】  

開催日 10月17日(火),11月15日(水),12月13日(水)   開催地 東京都   参加費 無料

ますます高度化、巧妙化するサイバー攻撃。サンドボックスをかいくぐるマルウェアなど新たな脅威が増え続ける中、従来の検知・除去や社員教育の徹底では、限界を感じている…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30009761


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ