Webサイト改ざんの原因・経路
サイト改ざんの原因となる主要な3つの経路について解説します。
改ざん被害を受ける経路は3タイプ
Webサイトが改ざんを受ける経路は、大きく次の3つのタイプに分類できます。
a:脆弱性を突いた攻撃
まず挙げられるのが、WebアプリケーションやCMSの脆弱性、Webアプリ開発に利用するフレームワーク(Apache Strutsなど)の脆弱性、Webブラウザの脆弱性を悪用して改ざんを行う攻撃です。WebブラウザやCMSの脆弱性は、最新版へアップデートすることでほぼ対策できますが、未対策の旧バージョンを狙って攻撃するケースもあります。Webアプリケーションの脆弱性は、SQLインジェクション、クロスサイトクリプティング(XSS)など、代表的なものだけで数十種類あります。利用者の多いCMSやWebアプリケーションの脆弱性を狙ったものでは、多くのサイトが一斉に被害を受ける可能性も大きくなります。脆弱性に気づいたユーザーによる通報で、IPA等のセキュリティ団体が発表し、ニュースとして報じられることもあります。
b:管理者のPC経由の攻撃
直接Webサイトを攻撃対象とするのではなく、Webサイト管理者のPCが、Webサイト改ざんを目論む第三者の標的になるケースも少なくありません。管理者のPCからWebサイトの管理者情報(ID、パスワード等)を不正に取得したり、管理者PCの権限を奪ってリモートで操作したりといった方法で、一見「正常なログイン」としてWebサイトの管理画面に入り込み、改ざんを行う手口です。USBメモリ経由でのウイルス感染や、メール・Webの閲覧でローカルPCにマルウエアが感染することも多いので、サイト管理者のPCにおける基本的なマルウエア対策が重要となります。
c:Webサイト管理情報の漏えい
Webサイトの管理者アカウントが漏えいし、管理者としてWebサイトへ侵入されてしまうケースです。こちらも、一見正常なログインに見えるため、システム側の検知システムでは見逃されてしまい、発見や対策が遅れる可能性が高まります。使い回したID・パスワードの組み合わせをパスワードリスト攻撃によって利用されたり、アカウント情報を書いたメモを不用意に放置してしまったり、スマートフォンやタブレットの管理方法に問題があったりと、その原因はさまざまです。
実際に生じたWeb改ざん被害の例
| 被害 発生時期 |
改ざん被害を 受けた企業 |
概要 |
|---|---|---|
| 2014年6月 | CDNサービス会社 | CDNサービス利用顧客のアップロードしたコンテンツの一部に改ざん被害。 |
| 2014年5月 | ゲーム機器・ ゲームソフト会社 |
公式サイトへの不正アクセス発覚により、数日から1週間程度、閲覧できない状態に。 |
| 2014年3月 | 情報出版会社 | 脆弱性を有するソフトを利用したユーザーが閲覧すると、悪意のあるプログラムが実行される状態に。 |
| 2014年3月 | 衣料品メーカー | グループの複数のWebサイトを公開停止し、サーバ移転の措置。 |
| 2014年2月 | 旅行会社 | PC用Webサイトが被害に。閲覧するとウイルスに感染する不正なプログラムが埋め込まれる。 |
| 2013年9月 | 仮設機材 製造メーカー |
サイト改ざんおよび、顧客情報の流出が確認される。 |
| 2013年8月 | レンタルサーバ会社 | 第三者からの大規模攻撃により、CMSの管理画面に不正アクセスおよび改ざん被害が発生。 |
| 2013年7月 | 鉄道会社 | ホームページの一部が改ざん。 |
| 2013年6月 | 自動車メーカー | サイトの一部が改ざんされ、ウイルスが埋め込まれたことを確認。 |
| 2013年3月 | 官公庁 | 運営委託先のサーバ上の設定ファイルの一部に改ざん被害。 |
| 2013年1月 | 飲料メーカー | ホームページ会員向けサイトに不正アクセス。会員の個人データが改ざんされる。 |
| 2012年11月 | 公立学校 | ホームページ内のファイルが改ざんされ、意図しないWebサイトへ転送される状態に。 |
次ページでは、Webサイト運用者が、最も対応に苦慮すると思われる「a: 脆弱性を突いた攻撃」、特にWebサイトに対する外部からの攻撃を中心に、改ざん被害を抑制するための対策をご紹介します。