Webサイト改ざんの傾向と未然に防ぐ対策方法

2017.07.24

セキュリティ対策

File-include-measures

Webサイト改ざんは、Webサイトを保有していれば組織の規模や業種にかかわらず行われるサイバー攻撃です。さまざまなWebサイトで個人情報が管理されるようになったことで、大企業のWebサイトだけでなく中小企業のWebサイトでも被害が出ています。むしろセキュリティ対策が不十分な中小企業のWebサイトが狙われる傾向にあります。Webサイトを改ざんされてしまうと、顧客から信頼を失いかねません。一度失った信頼を取り戻すのは非常に大変です。そのようなトラブルを引き起こさないためにも、Webサイトを運営する企業にとってWebセキュリティ対策は不可欠なものとなりました。
Webのセキュリティ対策を行うためには、まず、どのような被害を受けないようにするかを考える必要があります。ここでは、Webサイトの改ざんについてどのようなサイバー攻撃を受けた時に起こる可能性があるのか、改ざんの対策手段について解説します。

目次

Webサイト改ざんとはどのような攻擊か

Webサイト改ざんとは、Webサイト内のコンテンツやシステムが攻撃者によって運営者の意図しない状態に変更される攻撃のことです。

攻撃者の思想の掲載やイタズラ目的でページの見た目を変えるものから、最近ではWebサイトの閲覧者にウイルスを感染させることを目的とするものが多くなりつつあります。ウイルス感染を目的とした場合は、Webサイトが改ざんされているかどうかを見た目では判断しづらくなる特徴があります。

被害件数と攻撃の手口から見るWebサイト改ざんの傾向

JPCERTコーディネーションセンター(JPCERT/CC)が公開しているインシデント報告対応レポートによると、2013年7月でピークをむかえて、その後は増減しながらも月間200件前後の数で推移しており、常にWebサイト改ざんの脅威があることがわかります。


出典:JPCERT/CC 「インシデント報告対応レポート」

Webサイト改ざんの攻撃の手口には、大きく分けて「脆弱性を悪用した攻撃」と「管理者アカウントの乗っ取り」の2種類があります。

脆弱性を悪用した攻撃によるWeb改ざん

脆弱性にはWebサイト毎に独自に開発したWebアプリケーションの脆弱性と、Webサイトが使用しているソフトウェアの脆弱性があります。
ここでの脆弱性とは、「もろくて弱い様子」を意味し、Webなどのセキュリティ業界では「仕様上の欠陥やバグに起因する保安上の弱点」を意味します。

 

■Webアプリケーションの脆弱性
Webサイトごとに独自に開発したWebアプリケーションで発生する脆弱性には、SQLインジェクション、OSコマンドインジェクションといった任意のコードが実行されるものがあり、攻撃者はそれらを利用してウェブサイトの改ざんを行います。

 

上記以外の代表的な攻撃手法例を紹介します

● XSS(クロスサイトスクリプティング)
ユーザーのwebブラウザ上で不正なスクリプトを動かす

● 強制ブラウジング
URLなどを使ってリンクされていない秘密情報や管理者機能に直接アクセスする

● パラメータの改ざん
Webアプリケーションの期待する値とは別の値を送信し、ご操作させる

● ディレクトリトラバーサル
ディレクトリを直接入力し、公開されていないファイルに直接アクセスする

■ソフトウェアの脆弱性
Webサイトの多くはWebサーバやミドルウェアなど共通のソフトウェアを使用していることが多いため、一つの製品に脆弱性が見つかると同じ攻撃で複数のWebサイトを攻撃できます。

管理者アカウント乗っ取りによるWeb改ざん

Webサイトやサーバの管理や運営者のパソコンをウイルス感染させ、管理用アカウントを窃取した後に、そのアカウントで不正ログインしWebサイトを改ざんします。その他にも、メール等を利用しソーシャルエンジニアリングで管理用アカウント情報を窃取する方法もあります。

参考:IPA「ウェブサイト改ざんの脅威と対策」(PDF)

Webサイト改ざん対策、どうすればいい?

Webサイトが改ざんされないための基本的な対策は、脆弱性が見つかった場合に迅速に最新バージョンへアップデートすることです。なかには頻繁に最新バージョンが公開されるものもあるため、注意して最新情報を確認しておく必要があります。また、Webサイト管理用・運営者のPCへはウイルス対策ソフトをインストールし、PCとウイルス対策ソフトも最新のバージョンに保ちましょう。

また、Webサイト改ざんの対策としてWAF(Web Application Firewall)は非常に有効なセキュリティ対策です。最新バージョンが公開されすぐにアップデートできない状況下でも、WAFを導入することで攻撃にあうリスクを低下させることが可能です。Web改ざんだけでなく、Webアプリケーションの脆弱性を悪用したサイバー攻撃を防ぐことができることから、Webサイトの必須セキュリティとなっています。

クラウド型WAF「攻撃遮断くん」は、WebサーバやWebサイトへのあらゆるサイバー攻撃を遮断するWebセキュリティで、24時間365日低価格ながら高セキュリティを実現します。また、WAFに加え「改ざん検知サービス」の提供しており、万が一Webサイト改ざん被害にあってしまった場合でも早期に発見できます。

まとめ

Webサイトは企業にとって重要なビジネスツールであり、Webサイトなくしては事業が成り立たない企業もあるのではないでしょうか。こうした中で、Webサイト改ざん被害にあってしまうと、サービス停止による利益損失や信用低下へもつながります。このような被害を未然に防ぐために、WAFをご検討されてみてはいかがでしょうか。

クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

この記事と一緒に読まれています