IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」の組織部門において、2016年は5位、2017年は6位にランクインしていた「Webサイトの改ざん」。2018年以降、10大脅威からは外れていますが、その脅威がなくなっているわけではありません。2019年に1位にランクインしている「標的型攻撃による機密情報の窃取」にも、ウェブサイトの改ざんが含まれているのです。

改ざんの大きな問題は、他のセキュリティインシデントに比べて対応日数が大幅にかかることです。そこで今回は、Webサイト改ざんの現状、被害事例を中心に、改ざん被害に遭った際のリスク、対処方法について考察していきます。

Webサイト改ざんの現状と被害事例

コンピューターセキュリティ関連情報の発信などを行うJPCERT コーディネーションセンターが、2020年7月に発表した「インシデント報告対応レポート」によると、2020年4月~6月のカテゴリ別インシデント件数において、Webサイト改ざんはその他を除けば3番目に多い291件となっています。この件数は、全体では4.1%とわずかではあるものの、問題は「対応日数」です。

例えば、インシデント件数が最も多いフィッシングサイトの「対応日数」は、「0~3日」が77%、「11日以上」が5%。マルウェアサイトの対応日数は、「0~3日」が50%、「11日以上」が20%。これに対し、Webサイト改ざんは「0~3日」が34%、「11日以上」が34%となり、ほかのインシデントに比べて対応日数が長く、その分被害も大きくなるリスクを抱えていると言えます。

では、実際にあったWebサイト改ざんの被害事例を見てみましょう。

事例1. CMSのログインIDを踏み台に不正アクセス攻撃を仕掛けられる

2019年1月、A社が運営するメールサービスに不正アクセスが発生。CMSのIDを踏み台に、WebサーバOSの脆弱性を突いた不正アクセス攻撃でした。攻撃者は、これによりほかのユーザの利用領域にも不正ファイルを設置。被害件数は非公表ですが、復旧には約15時間が費やされました。

事例2. 総当たり攻撃や辞書攻撃の方法で改ざん被害に

2018年4月、あるオープンソースのECサイトプラットフォームで運用されている多くのWebサイトが改ざん。クレジットカード情報の搾取、マルウェア感染などの被害に遭ったことが確認されています。このECサイトプラットフォームはオープンソースのCMSで、以前にもさまざまな攻撃にさらされていました。

Webサイト改ざんに対する対策

Webサイト改ざん対策にはいくつかの方法がありますが、そのなかでも主なものとして、次の4つが挙げられます。

IPS(不正侵入防御システム)

IPSはIntrusion Prevention Systemの頭文字を取ったもので、サーバやネットワークが行う外部との通信を監視し、不正アクセスやサイバー攻撃を検知したら自動的に通信を遮断するシステムです。また、これまでのサイバー攻撃のパターンを解析し、それに類似したものが通信を求めてきた場合も自動でブロックします。

FW(ファイアウォール)

インターネットの脆弱性を悪用し、侵入してくる不正なアクセスやサイバー攻撃を遮断することで、社内のネットワークを守るものです。もともと、ほとんどのパソコンに組み込まれている基本的なセキュリティ対策のひとつで、外部からの攻撃のほか、内部不正のブロックも行えます。

WAF(Webアプリケーションファイアウォール)

上述したFWのひとつで、Webアプリケーションの脆弱性を悪用し、侵入してくる不正アクセス、サイバー攻撃などから守ることに特化したFWです。オンラインバンキングやECサイトのほか企業サイトでも、資料請求でユーザからの入力を受け付けているようなWebサイトを保護するのに適した対策のひとつです。

改ざん検知サービス

ここまでに見た対策はどれも不正アクセスやサイバー攻撃を水際で防ぐためのものです。しかし、検知できないものも増えています。そこで、万が一侵入されてしまった際にできるだけ早い段階で検知し、被害を最小限に抑える対策も行う必要があります。それが、Web改ざん検知サービスです。

自社Webサイトの改ざんの有無を定期的に巡回してアラートを上げたり、ページを自動的に見せなくしたりするサービスです。Webサイトの改ざんは、攻撃されたことに気づかないことが多く、それが結果として対応が遅れてしまう要因のひとつですが、このサービスを利用することで、早期に対処することができます。

改ざん検知システムの種類

パターンマッチ型

ソース解析型とも呼ばれます。過去のサイバー攻撃パターンを保持しておき、そのパターンと類似した応答文字列があるかをチェックします。一般的な方法ですが、パターンに一致しない新たな攻撃は検知ができないというデメリットがあります。

振る舞い分析型

振る舞い分析型は、仮想PCのブラウザ上で特有の動きを手掛かりに改ざんを検知し遮断するものです。これまでのパターンと異なっていても、正常なプログラムとは異なる動きかどうかで解析するため、早期に検知することが可能になります。ただし、どのファイルで不正な動作をしたかは調査が必要です。

ハッシュリスト比較型

サーバに置かれているファイルを定期的にハッシュ計算し、以前のものとの比較で変化があれば通知するものです。ただし、通常のサーバ更新による変化であっても通知されるため、その都度判断が必要になります。

また、似た方法に原本ファイルを監視サーバに保管し、定期的に監視対象であるWebサーバ上のファイルと差分比較する原本比較型という方法もあります。通常のサーバ更新の場合は、監視サーバも同時に更新する手間がかかりますが、不正な動作をしない見た目だけを変更する改ざんに対応できます。

Web改ざん被害対策で最も重要なポイントは「素早い検知」

Webサイトのセキュリティインシデントとして、改ざんはフィッシングに比べ件数は多くありません。しかし、対応日数がかかる割合が多く、一旦被害に遭うと、大きな損失を生みだすリスクが高くなります。

ほかのセキュリティインシデントに比べ、対応日数がかかってしまう理由のひとつに、改ざんされたことに気づかないケースが多いことが挙げられます。これを防ぐためには、FWやISPといった事前対策ももちろん重要ですが、改ざんされることを前提に、改ざんを素早く検知する対策を同時に行うことが重要です。事前、事後の対策をしっかりと行い、万が一、改ざんされたとしても早急に検知、修復することが、被害を最小限に抑えるポイントと言えます。

Web改ざんチェックサービス