Webサイト改ざんで訪問者がマルウェア感染！その手口と対策方法は？

Webサイトを運営している人々にとって脅威となるものにWeb改ざん（Webサイト改ざん）があります。
Web改ざんとは、Webサイトに管理者の意図しないコンテンツを置いたり、レイアウトを改ざんしてしまうことです。
中にはウイルスを仕込まれてしまう場合もあったりと、Webサイトを訪問する人々に危害を加える可能性があります。
今回はWeb改ざんとは何か？その対策方法はどうすれば良いかを解説します。

Web改ざんは、訪問者へのマルウェア感染、訪問者のクレジットカード情報などの窃取、攻撃者の主張を広めるなどを目的に行われます。
Webサイト改ざんの攻撃手法は、大きく4つのパターンに分類されます。
 

Aは管理用パソコンが乗っ取られることにより、そのPCでセッション維持されている管理対象のWebサイトを編集できてしまいます。
 
もしくは管理者のID/パスワードが攻撃者に盗まれることで編集できるようになります。標的型メールの添付ファイルを感染経路として攻撃される場合が多くあります。標的型メール攻撃とは、組織内のメールに偽装し、マルウェアが添付されたメールを送り、添付ファイルを実行させてアカウント情報を搾取しようとする攻撃です。

その他に考えられる感染経路としては、管理者が他の改ざんされたWebサイトを閲覧したことでマルウェアに感染してしまうというものがあります。

BはサーバOSなどのソフトウェアの脆弱性を狙ったものです。OSを長期間更新していない場合、その古いシステムの脆弱性を悪用したサイバー攻撃の対象となることがあり、必要に応じた定期的な更新などの対策が重要です。

Cは独自に開発されたもので、インターネット上に公開されたWebアプリケーションにおいて、実装上の不備による脆弱性が含まれている事例が多くあります。脆弱性にはいろいろありますが、一般的には SQL インジェクション が有名です。
 
SQLインジェクションとは、Webアプリケーションの脆弱性の一つです。Webアプリケーションはユーザからの入力を受け付けてサーバ側で処理し、その結果をユーザに返すという役割があります。入力を受けたサーバーはデータベースにアクセスし、情報参照・更新するという処理があります。データベース制御のための問い合わせ指示をSQLといい、この指示を攻撃者の意図で自由に実行できる攻撃をSQLインジェクションと呼びます。このような処理の過程では、Webアプリケーションは、ユーザから想定外の情報が入力された場合にはそのまま受け付けずに、適切にエラー処理を行う必要があります。
 
しかし、こうした処理に不備があると、攻撃者から、データベースを操作するコマンドを含む情報が入力された場合、その内容をサーバが処理することで、サーバ上で攻撃者の思いのままにSQLが実行されてしまいます。このような不正なSQLの実行により、攻撃者は、データベース内の重要情報の窃取、コンテンツの改ざんといった攻撃を行うことができます。

Dは内部のアクセス権限を持たない者が、アクセス制御の不備をついたり、ソーシャルエンジニアリングによって管理者アカウントを不正に取得するなどして、改ざんするケースです。セキュリティ対策製品を導入していても、内部犯行を想定しない設定の場合、犯行が表面化しにくくなることもあります。
 
Web改ざんを行うための4つの攻撃手法についてご紹介しました。
では、これらを防ぐためには具体的にどのような対策をすれば良いのでしょうか？
 
＜補足記事＞
＜標的型攻撃について＞
標的型攻撃の手法とその対策について
＜WordPressの脆弱性攻撃について＞
WordPressの脆弱性攻撃被害事例と今からできる対策とは？
＜Apache Struts2の脆弱性について＞
【注意喚起】Apache Struts2の脆弱性発覚！即時の対応を！
＜SQLインジェクション攻撃について＞
「サイバー攻撃解説」サーバに攻撃を仕掛けるSQLインジェクションについて
＜ソーシャルエンジニアリングについて＞
「サイバー攻撃解説」ソーシャルエンジニアリングについて

Web改ざんの対策としては、組織の形態、予算、システム構成によってさまざまな選択肢があるので、今回は想定できる対策についてご紹介します。

実際の例として、Apache Struts2の脆弱性に関しては、脆弱性情報入手からセキュリティパッチ適用またはサイトの一時停止という対応が早かったサイトが被害に遭わずに済んでいます。
さらに、情報入手だけでなく、重大インシデントが発生した際にセキュリティパッチ適用やサイトの一時停止といった対応手順を明確化し、普段から訓練しておくことが大切です。

Webアプリケーションの対策としては、ユーザから想定外の情報が入力されてもそのまま処理せず、適切なエラー処理を実施することが最重要となります。つまり、安全なWebアプリケーションを開発するということです。
 
開発者が個々にデータベースにアクセスする仕組みを作ってしまうことにより脆弱性を含むアプリケーションとならないよう、開発・レビュー・テストなどの体制や環境を整えることが大切です。

WAF（Web Application Firewall）を導入することで、手間をかけずにSQLインジェクション等のWebアプリケーションに対する攻撃を防止できます。WAFには、アプライアンス型（ハードウェア）、ソフトウェア型、クラウド型の3種類があります。この中でも最近は、クラウド型WAFが注目されています。
 
これは、専門知識・専門家が不要、インフラの調達が不要、初期費用・運用コストが低い、柔軟なプラン契約というメリットがあるためです。
一方、WAFとしての性能はサービス提供者の品質に左右されるというデメリットがあるため、利用者が慎重にサービス提供者を選定しなければならないという点には注意が必要です。

これらの事前の対策だけでは充分ではない場合、事後の対策として改ざん検知の導入が有効です。
 
改ざん検知の手法にはいくつか種類がありますが、その一つとして次のようなものがあります。事前にWebサイトのコンテンツを監視用のサーバに保管管理しておき、実際に公開されているWebサイトのコンテンツと定期的に比較することによって差分の有無の確認を行い改ざんを検知する手法です。

既知の攻撃事例を元に、攻撃者の視点で擬似的に脆弱性を利用した攻撃を実施し、それが再現するかを確認します。ツールを利用した診断に加え、セキュリティ専門技術者による手動診断も実施します。
 
この診断の結果、Webアプリケーションの潜在的な脆弱性を発見したり、また、Webアプリケーションが安全であることを確認したりします。
ただし手動診断において、特に専門技術者によるオンサイトでの対応が必要なケースでは、予算によっては対応内容などに制約がある可能性があります。
 
なお、コンプライアンス関連、例えばクレジットカードを取り扱う場合には、PCI DSSとよばれる業界標準に従うために脆弱性診断が必須となり、それに準拠した脆弱性診断ツールを定期的に実施する必要があります。

ウイルス感染させないためには、管理用パソコンに対して最新のセキュリティパッチが適用されていること、ウイルス対策ソフトがインストールされていること、ウイルス対策ソフトのパターンが最新であることが重要です。

管理者アカウントによる操作を常に監視することも必要です。
ソーシャルエンジニアリングへの対策は非常に難しいため、アカウント管理を適切に行うことで、不用意なアカウント情報の流出を防ぎます。
アカウントの付与や変更・削除に対して承認ワークフローを整備する、管理用アカウントの付与は必要最小限に留めるといったことが重要です。

ユーザの情報セキュリティ意識を高めることは、ユーザ自身が気をつけることによりセキュリティ事故を未然に防止できるだけでなく、ユーザが情報セキュリティ対策の重要性を理解するために必要です。
 
経営層、管理層は、セキュリティ対策導入の決定権を持っていることから、彼らからセキュリティ対策が企業の前向きな投資であるということへの理解を得る必要があります。そのような意味で、経営層や管理層への情報セキュリティ教育は重要であるといえます。
 
Webサイト運営者は、Webサイト改ざんを防ぐために可能な限り対策を行い、自分たちの運営するWebサイトを守るためだけでなく、そのWebサイトの訪問者を危険に晒さないように務めましょう。

イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとってかなり有効なセキュリティ対策の１つです。クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。

「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

 
（2018/1/16 執筆、2020/11/18修正・加筆）