Webサイト改ざんの原因・経路
サイト改ざんの原因となる主要な3つの経路について解説します。
改ざん被害を受ける経路は3タイプ
Webサイトが改ざんを受ける経路は、大きく次の3つのタイプに分類できます。
a:脆弱性を突いた攻撃
まず挙げられるのが、WebアプリケーションやCMSの脆弱性、Webアプリ開発フレームワーク(React、Vue.js、Laravelなど)の脆弱性を悪用した攻撃です。2021年に被害が多数報告されたApache Log4j のように、サプライチェーン全体に影響を与える深刻な脆弱性も増加しています。WebブラウザやCMSの脆弱性は最新版へアップデートすることでほぼ対策できますが、未対策の旧バージョンを狙って攻撃するケースもあります。Webアプリケーションの脆弱性としては、SQLインジェクション、クロスサイトスクリプティング(XSS)などの従来型の脅威に加え、サーバーサイドリクエストフォージェリ(SSRF)、クロスサイトリクエストフォージェリ(CSRF)など、さまざまな脆弱性があります。広く利用されているCMSやフレームワークの脆弱性が公開されると、多数のサイトが一斉に被害を受ける可能性が高まります。脆弱性発見者がIPAやJPCERT/CCなどの公的機関に報告するケースだけでなく、HackerOneやBugcrowdなどのバグバウンティプラットフォームを通じて報告されるケースも増えています。
b:管理者のPC経由の攻撃
Webサイトを攻撃対象とするのではなく、Webサイト管理者のPC・デバイスが標的になるケースも増加しています。特に2020年以降、リモートワークが普及したことで、自宅など企業のセキュリティ対策が及ばない環境からの管理作業が増え、リスクが高まっています。攻撃者は管理者を騙す巧妙なフィッシングメールを送り、認証情報を盗み出したり、マルウェアに感染させたりします。最近では、AIを活用した説得力の高いフィッシングメールや、特定の対象を絞った標的型攻撃も増加しています。またビジネスコミュニケーションツールを介した攻撃も報告されています。感染した管理者のPCからWebサイトの管理者情報(ID、パスワード等)を不正に取得し、一見「正常なログイン」としてWebサイトの管理画面に入り込み改ざんを行う手口が一般的ですが、クラウド管理コンソールやAPIキーが漏洩するケースも増えています。管理者デバイスのセキュリティ対策ソフトの導入やOSの最新化に加え、不審なメール・メッセージの見分け方に関する定期的な教育も重要となっています。
c:Webサイト管理情報の漏えい
Webサイトの管理者アカウントが漏えいし、管理者としてWebサイトへ侵入されてしまうケースです。2025年現在、多要素認証(MFA)の導入が標準的なセキュリティ対策となっていますが、依然としてMFAを実装していないサービスや、MFAを回避するツールなどによるバイパス攻撃を受けるケースが報告されています。また、パスワードリスト攻撃のほか、AIを活用した高度なソーシャルエンジニアリングにより、カスタマーサポートを騙して認証情報をリセットさせるなどの手法も増加しています。クラウドベースの管理ツールの場合、適切なIAM(Identity and Access Management)設定がなされていないと、過剰な権限が付与され、一つのアカウント漏洩が広範囲な被害につながることもあります。JPCERT/CCの報告によれば、2024年上半期には、こうした不正アクセスによるWebサイト改ざん事案が多数報告されており、特にAPIキーやクラウド認証情報の漏洩に起因する事例が目立っています。
実際に生じたWeb改ざん被害の例
| 被害 発生時期 |
改ざん被害を 受けた企業 |
概要 |
|---|---|---|
| 2024年7月 | 総合エンターテインメント企業 | ランサムウェア攻撃を受け、オフィシャルサイトや動画配信サイトが一時的に閲覧不可能に。窃取データの一部がダークウェブ上で公開される。 |
| 2024年7月 | デザイン建材販売会社 | 通信販売サイトのシステムの脆弱性を突いた不正アクセスにより、決済アプリケーションが改ざんされ、顧客情報が流出。 |
| 2023年5月 | 食品メーカー子会社 | ECサイトの改ざんと注文に関する一部情報のダウンロード被害。 |
| 2023年4月 | 学校法人 | 大学公式サイトが第三者からの不正アクセスにより改ざんされ、不適切な内容が表示。サイトを一時的に閉鎖。 |
| 2023年2月 | アミューズメント施設運営 | 料金案内ページが改ざんされ、閲覧者が不適切なサイトに誘導される被害が発生。 |
| 2022年11月 | 酒類量販チェーン酒類量販チェーン | 公式通販サイトで使用していたWeb入力支援ツールのシステムが第三者に改ざんされ、一部顧客のクレジットカード情報が漏洩。 |
| 2022年10月 | 精密化学メーカー | 公式通販サイトで使用していた入力最適化ツールの脆弱性から不正アクセスおよびソースコードの改ざんが行われ、顧客のクレジットカード情報が流出。 |
| 2022年7月 | カタログギフトECサイト | ECサイトの脆弱性をついた不正アクセスで、アプリケーションが改ざんされ、クレジットカード情報が漏洩。 |
| 2022年5月 | 和菓子メーカー | 公式オンラインショップへの不正アクセスによるペイメントアプリケーションの改ざんで、クレジットカード情報漏洩の可能性。 |
| 2021年11月 | 研究開発法人 | 学習管理システムのサービスの脆弱性を悪用され、改ざんおよび登録されている個人情報が流出。 |
| 2021年4月 | 製造小売メーカー | 公式通販サイトの新規会員登録ページが改ざんされ、顧客情報が流出の可能性。 |
| 2021年1月 | 食品メーカー | 公式ショップの脆弱性が攻撃され、ペイメントアプリケーションが改ざん。クレジットカード決済を行った顧客のカード情報が漏洩。 |
次ページでは、Webサイト運用者が、最も対応に苦慮すると思われる「a: 脆弱性を突いた攻撃」、特にWebサイトに対する外部からの攻撃を中心に、改ざん被害を抑制するための対策をご紹介します。