改ざん被害を受ける経路は3タイプ

Webサイトが改ざんを受ける経路は、大きく次の3つのタイプに分類できます。

a:脆弱性を突いた攻撃

まず挙げられるのが、WebアプリケーションやCMSの脆弱性、Webアプリ開発に利用するフレームワーク(Apache Strutsなど)の脆弱性、Webブラウザの脆弱性を悪用して改ざんを行う攻撃です。WebブラウザやCMSの脆弱性は、最新版へアップデートすることでほぼ対策できますが、未対策の旧バージョンを狙って攻撃するケースもあります。Webアプリケーションの脆弱性は、SQLインジェクション、クロスサイトクリプティング(XSS)など、代表的なものだけで数十種類あります。利用者の多いCMSやWebアプリケーションの脆弱性を狙ったものでは、多くのサイトが一斉に被害を受ける可能性も大きくなります。脆弱性に気づいたユーザーによる通報で、IPA等のセキュリティ団体が発表し、ニュースとして報じられることもあります。

b:管理者のPC経由の攻撃

直接Webサイトを攻撃対象とするのではなく、Webサイト管理者のPCが、Webサイト改ざんを目論む第三者の標的になるケースも少なくありません。管理者のPCからWebサイトの管理者情報(ID、パスワード等)を不正に取得したり、管理者PCの権限を奪ってリモートで操作したりといった方法で、一見「正常なログイン」としてWebサイトの管理画面に入り込み、改ざんを行う手口です。USBメモリ経由でのウイルス感染や、メール・Webの閲覧でローカルPCにマルウエアが感染することも多いので、サイト管理者のPCにおける基本的なマルウエア対策が重要となります。

c:Webサイト管理情報の漏えい

Webサイトの管理者アカウントが漏えいし、管理者としてWebサイトへ侵入されてしまうケースです。こちらも、一見正常なログインに見えるため、システム側の検知システムでは見逃されてしまい、発見や対策が遅れる可能性が高まります。使い回したID・パスワードの組み合わせをパスワードリスト攻撃によって利用されたり、アカウント情報を書いたメモを不用意に放置してしまったり、スマートフォンやタブレットの管理方法に問題があったりと、その原因はさまざまです。

実際に生じたWeb改ざん被害の例

被害
発生時期
改ざん被害を
受けた企業
概要
2014年6月 CDNサービス会社 CDNサービス利用顧客のアップロードしたコンテンツの一部に改ざん被害。
2014年5月 ゲーム機器・
ゲームソフト会社
公式サイトへの不正アクセス発覚により、数日から1週間程度、閲覧できない状態に。
2014年3月 情報出版会社 脆弱性を有するソフトを利用したユーザーが閲覧すると、悪意のあるプログラムが実行される状態に。
2014年3月 衣料品メーカー グループの複数のWebサイトを公開停止し、サーバ移転の措置。
2014年2月 旅行会社 PC用Webサイトが被害に。閲覧するとウイルスに感染する不正なプログラムが埋め込まれる。
2013年9月 仮設機材
製造メーカー
サイト改ざんおよび、顧客情報の流出が確認される。
2013年8月 レンタルサーバ会社 第三者からの大規模攻撃により、CMSの管理画面に不正アクセスおよび改ざん被害が発生。
2013年7月 鉄道会社 ホームページの一部が改ざん。
2013年6月 自動車メーカー サイトの一部が改ざんされ、ウイルスが埋め込まれたことを確認。
2013年3月 官公庁 運営委託先のサーバ上の設定ファイルの一部に改ざん被害。
2013年1月 飲料メーカー ホームページ会員向けサイトに不正アクセス。会員の個人データが改ざんされる。
2012年11月 公立学校 ホームページ内のファイルが改ざんされ、意図しないWebサイトへ転送される状態に。

次ページでは、Webサイト運用者が、最も対応に苦慮すると思われる「a: 脆弱性を突いた攻撃」、特にWebサイトに対する外部からの攻撃を中心に、改ざん被害を抑制するための対策をご紹介します。