HOME > WAFとWebセキュリティ > Webサイト改ざんの傾向と対策

Webサイト改ざんの傾向と対策

急増するWebサイト改ざん被害。Webサイト改ざんによる被害を受けた結果、顧客や社会からの信頼が大きく揺らぎ、サイト運営企業が大きな痛手を蒙る事件が多発しています。被害の実態と対策について解説します。

【お知らせ】WordPress の REST APIの脆弱性を悪用したサイト改ざんについて(2016/02/07)

2017年2月現在、WordPress の REST API の脆弱性を悪用され、リモートからの攻撃によってWordPress のコンテンツが改ざんされる事例が国内外で多数報告されています。JPCERT コーディネーションセンターおよびIPAからもこれら改ざん被害に関して注意喚起がなされており、早急の対策が求められています。 WordPress の脆弱性に関する注意喚起【2017.02.06 JPCERT/CC】 WordPress の脆弱性対策について【2017.02.06 IPA】
WAF「Scutum」では、注意喚起がなされた当日に今回のWordPressの脆弱性への対応を完了しており、Scutumを経由した通信は本脆弱性を狙った攻撃の影響を受けません。また、WordPress等のCMSに限らず、WAF「Scutum」はサイト改ざんの原因となるWebアプリケーションの脆弱性を狙った攻撃の多くを防御することが可能です。 WordPress の REST APIの脆弱性について

もし、あなたのWebサイトが「改ざん」されたら

相次ぐ「Webサイト改ざん」、そして改ざんが原因となって起こる「情報漏えい」のニュース。サイトを運営する側にとっては、毎月のように報じられる被害に「対岸の火事として放っておけない」と感じている方も多いのではないでしょうか。
JPCERT/CC インシデント報告対応レポート」によれば、2012年中頃から増加した改ざん事案件数は、2013年に急激に増加し年間7409件を記録しました。2013年をピークとして現在は漸減傾向にありますが、ここ数年に大手企業が被害を受けた、主な改ざん事案のインシデントだけでも下記のような事例がありました。

  • 大手学生服製造会社:公式ECショップのペイメントアプリケーションが改ざんされ、クレジットカード等の顧客情報が流出
  • 大手電気メーカー:公式オンラインストアへの不正アクセス被害により氏名等の一部の注文情報が流出
  • 大手コーヒーショップ:公式オンラインストアで脆弱性をついた不正アクセスにより、ペイメントアプリケーションが改ざん。個人情報が漏えいした可能性があり、オンラインストアを一時閉鎖
  • 大手下着メーカー:公式通販サイトリニューアル後、旧通販サイトの利用者の個人情報の流出可能性が判明。その後、旧サイトのペイメントアプリケーションが改ざんされたことが原因との調査結果を公表
2010~2024インシデント年間合計

※出典:JPCERT/CC インシデント報告対応レポート(https://www.jpcert.or.jp/ir/report.html)より

インシデントというと、サイト運営者としてはまず、情報漏えいの規模や、影響を受けるユーザー数などに目が行きがちですが、昨今では、改ざん被害の発見から事後の処置、経過報告を公式に発表するまでの一連の対応にも、ユーザーや報道は注目しています。また、長期にわたってサイト閉鎖等を行った場合は、SEO上のダメージも避けられません。サイト改ざんは、事故単体の影響のみならず、長期的な企業の信用やブランドの維持に直結する大きな問題となっているのです。

被害者が加害者になるケースも

万が一、サイト改ざんの被害を受けてしまった場合。そのとき、被害者であると同時に、加害者になってしまう可能性も高くなっています。被害事例のなかにもあった、不正なファイルを埋め込まれるケースでは、改ざんされたサイトを訪問した利用者のPCへ、誘導コードの埋め込まれたhtmlファイルがダウンロードされてしまいます。その結果、悪意あるWebサイトへ気づかぬ間に誘導され、攻撃コードやマルウエアを仕込まれたり、また、それが元となってIDやパスワードが盗まれ、オンラインバンキングへの不正アクセスに繋がり、利用者が金銭的な被害を受けることもあります。いわば、整備不良の自動車で事故を起こすのと同じようなもので、改ざんの「被害を受けた」企業やWebサイトであっても、サイト利用者から見れば被害を拡大させてしまった「加害者」となるのです。

そのような事態を未然に防ぐため、当記事では以下の項目について解説します。