サイト改ざんを未然に防ぐ。その手口と対策とは

2019.01.28

Webセキュリティ

site-defacing-Countermeasure

法人・個人問わず、情報を発信したり、オンラインサービスを提供するためにWebサイトを作成し運営します。

 

今回はサイトを改ざんされることで、何が起きてしまうのか。また、サイト改ざんはどのような手口で行われるのか。そして、サイト改ざんを未然に防ぐためにはどう対策すべきなのかについてご説明します。

目次

1.サイト改ざんの手口

サイト改ざんの手口は、不正な手段を用いてWebサイトの管理システムに侵入する方法が主流です。
Webサイトの管理システムに侵入するために、悪意のある第三者たちは巧みな罠を仕掛けてくるのです。
主な手口として3つの例が挙げられます。

1-1.サイトの管理権限を付与されたID・パスワードを奪う手口

サイトを作る際に必要となるサーバや専用のツールはそれぞれアカウントを作成しなければならず、それらには必ずIDとパスワードが付与されています。

管理者権限が付与された専用のアカウントの場合、そのサーバやツールのすべてを編集することが可能なため、ページの作成や内容の編集など自由に行うことができます。

悪意のある第三者たちはブルートフォースアタックや辞書攻撃、脆弱性を突いた攻撃をすることで、サイトの管理権限を奪い、サイト改ざんやページの削除などを行います。

1-2.管理者権限を持つパソコンなどを乗っ取り改ざんする手口

IDやパスワードを奪うのではなく、管理者権限を持つ人のパソコンを乗っ取りことで、ディレクトリやファイル、データにアクセスしたり改ざんや編集、削除が可能になる手口です。
代表的なものとして、トロイの木馬やコンピュータウイルスなどに感染させることで、パソコンの乗っ取りを行うものがあります。

1-3.ヒューマンエラーやミス、心理的不安を煽り情報を奪取する手口

個人・組織問わず、サイトを作ったり運営する時には必ず「人」がいます。

悪意のある第三者がサイバー攻撃をする際に狙うべき対象は「管理権限を持つ人」であり、管理権限を持つ人から正しいユーザーIDとパスワードを聞き出そうとします。

パスワードがわからなければ本人に聞けば良い、という発想は普通なら考えられないことですが、悪意のある第三者からすればごく自然なことでもあります。

普段の当たり前の行動や動作の中に紛れ込ませるものも多く、例えば自然な形で「一定期間が過ぎました。現在のパスワードを入力後、新しいパスワードに変更して下さい。」のような文章で聞き出そうとしたり、心理的不安を煽る形で「サイトが改ざんされる恐れがあります。大至急パスワードを変更してください。」などと焦らせたり、困らせて判断力を失わせる手口もあります。

2.サイト改ざんで受ける被害

サイト改ざんで受ける被害は、提供するサービスや情報量によって変動します。個人であろうと、組織であろうとサイト改ざんによって被害を受ける可能性は十分にあります。

それでは、サイト改ざんの対策をしないことで、どのような被害を受けるのでしょうか。

2-1.サイト改ざんされて意図しない情報を表示する被害

サイトの多くは画像やデザイン、文章を用いて何らかの情報を発信することを目的とします。

しかし、サイト改ざんされて誤った情報を載せられてしまい、利用するユーザーに迷惑を掛けてしまう恐れや、二次的な被害を生む可能性もあります。

個人や組織問わず、情報の正確性については信頼性に直結するため、サイト改ざんによる誤った情報の発信はなんとしても避ける必要性があります。

2-2.悪意のあるプログラムをばら撒いてしまう被害

見た目や文章の一部が改ざんされるのではなく、HTMLやスクリプトを改ざんすることで、悪意のあるプログラムを埋め込み、利用するユーザーにウィルスやマルウェアをダウンロードさせてしまう被害もあります。

直接的にサイトを運営する立場の方が被害を受けるようには見えないかもしれませんが、サイト改ざんをされたことが発覚するまで、延々と被害者を増やし続けることになるので非常に厄介です。

また、直接的な被害を感じなくとも、運営するサイトが改ざんされ、原因がはっきりと判明し責任が生じた場合、損害に対する保証も考えなくてはいけません。

2-3.情報の流出や漏洩・機密データを奪われてしまう被害

もし、ユーザーに情報を入力をするように促すサイト改ざんをされた場合、情報の流出や漏洩、個人や組織のみならず機密データを奪われる可能性もあります。

特定の入力フォームを設置され、データの送信先を外部サーバに設定された状態で、利用するユーザーの心理的不安を煽るような文言で、言葉巧みに情報を入力させる手口だった場合、ユーザーはサービスを信頼しているからこそ騙され、自分自身で情報を提供してしまう恐れがあるのです。

公的機関や企業のドメインで表示されている情報をユーザーたちは信用しています。その上で自分が損をしたり、サービスを使えなくなる可能性と訴えられれば、ユーザーは自ら情報を入力してしまうことでしょう。

この場合でもユーザーに対する保証や賠償が発生し、運営側が負担する金額によってはサイトやサービスの存続が難しくなる場合があります。

2-4.サイト改ざんによる被害は気付きにくく長引きやすい

サイト改ざんはサイバー攻撃の中でも気が付きにくい攻撃でもあります。サイトを管理する側が全ての情報やページ、ソースなどをチェックするのが難しいこともあり、ユーザーからの情報提供を受けて初めて気が付くパターンもあります。

サイト改ざんされた状態のまま、サイトを信頼し利用しているユーザーがアクセスすればするほど目には見えにくい被害が蓄積してしまい、誤った情報の発信・悪意のあるプログラムのばら撒き・情報の流出や漏洩が日に日に増えることになります。

悪意のある第三者からすれば、気が付かれないまま時間が過ぎることが、攻撃の成功である場合も多く、情報が漏れた状態や、悪意のあるプログラムが拡散することで、さらに新しいサイバー攻撃を開始したり、誤った情報を与え続けることでサービスに被害を与えようとしているのです。

3.サイト改ざんを未然に防ぐための対策

サイト改ざんを未然に防ぐための対策として、システムやプログラムなどの対策、個人・組織問わずサイトを運営する方のセキュリティ意識の向上、サイトを利用するユーザーに対して注意喚起の促しなどが挙げられます。

発信している情報の改ざん・情報漏えい・個人レベルでのセキュリティ意識に対する考え方など、サイト改ざんを防ぐための対策について確認しておきましょう。

3-1.サイト改ざんさせない取り組みを行う

サイトを運営する側が取るべき対策として下記があります。

・サイバー攻撃を受けた場合に検知する仕組み
・不正なアクセス元によるデータの書き換えを遮断
・サイトに携わる人全員のIDやパスワードの管理徹底
・システムやソフトウエアを最新の状態にする
・脆弱性やサイバー攻撃の最新情報に目を向ける

サイトを運営しサービスを提供したり、情報を発信する側は利用するユーザーに対して不利益や迷惑、損害を与えてしまうことは許されません。
サイト改ざんをされたことがすぐにわかるシステム作りや、サイト運営に利用しているパソコンのセキュリティ状態を最新にしておくこと、組織内のIP以外からのアクセスを遮断する領域を作る仕組み、そして新しく発見された脆弱性やサイバー攻撃の情報をいち早く入手し、すぐに対策を練られる環境を整えることが大切です。

3-2.組織内部からの情報漏えいや流出を狙ったサイト改ざんを防ぐ対策

前項で述べたシステムや組織としての対策に付け加えるべきこととして、組織内部の人間によるサイト改ざんも対策すべきです。

組織に属する人間が機密情報を他社に売ることで利益を上げたり、組織を辞めた人間が不正にアクセスしたデータを悪用することも少なくありません。
管理権限を持つ人間が悪意を持てば、抜け穴を作ることも、サイト改ざんや情報を盗み出すことも簡単だからです。
対策の一例として、USBメモリなどの物理的なメディアはしない。ユーザーIDによるアクセスログや機密情報へのアクセスを検知するシステムなど、組織内の人間を疑うことのないように、また疑われてしまうようなセキュリティ体制にしないことが非常に大切です。

3-3.サイトを運営する側と利用する側のセキュリティ意識を高める対策

悪意のある第三者によるサイバー攻撃は複合的なものも多く、サイト改ざんへの対策だけでなく、サイト運営側も、ユーザー側もWebセキュリティ全般に対する知識や経験を増やせる状態にするのも大切です。
例えば銀行などではユーザーに対して「銀行側からお客様にパスワードをお聞きすることはありません」などという形で注意喚起を促すように、ユーザー側が自衛できるようにする対策も重要であると言えます。
また、組織内のパソコンやサーバーのみならず、組織で働く方全員のプライベートでも、セキュリティ意識を高めておくことで、内部の人間が外部から悪意のあるプログラムなどを持ち込ませないための手段の一つともなります。

まとめ

サイト改ざんの手口、どんな被害が起こり得るか。またサイト改ざんを未然に防ぐ対策についてお話しました。

 

サイト運営をする側はシステム的にも組織的にもWebセキュリティを高めておき、最新の状態にするのは、最早義務であると考えるべきです。

 

内外問わず悪意のある攻撃への対策を取り、サイト改ざんが行われたことにいち早く検知できるようにして、即時に修正、削除などが行える体制にする。

 

サイト改ざんの対策をしないことで、本来のサイト運営とは関係のない被害を受けたり、作業を増やすことがないように、webセキュリティについて、常日頃から心がけることも大切です。

おススメのWebセキュリティ対策

サイト改ざんの対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

(2018/04/20執筆、2019/01/28修正・加筆)