改ざん検知とは？仕組みや注意点、改ざんの被害事例を解説

2021.05.17 2024.04.26 EGセキュアソリューションズ

近年、サイバー攻撃によるWebサイト改ざんの被害件数が増えています。W安心・安全なWebサイトを運営するためにも、Webサイトの改ざん対策について理解することは非常に重要です。

本稿では、改ざん検知の概要や仕組みについて解説した上で、実際にあったWebサイト改ざんの被害事例を紹介します。改ざん検知によるWebサイト改ざん対策を理解するようにしましょう。

Webサイト改ざんとは

Webサイトの改ざんとは、その名のとおり、Webサイト上のデータを書き換えることです。

攻撃者が不正な手段でWebサイトに侵入し、様々な攻撃が行われます。Webサイト上の画像を変更されるだけのこともあれば、スパムメールを配信するためのプログラムを仕込まれたり、Webサイトを訪れたユーザーをマルウェア配信サイトへリダイレクトするように改ざんされてしまうこともあります。それだけでなく、偽の決裁ページを表示するように改ざんされてしまい、クレジットカード番号や個人情報の漏洩が生じるような被害も報告されています。

【解説】Webセキュリティ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

改ざん検知の概要

近年、Webサイトの改ざんによる被害が数多く報告されており、ECやブログなどを運営する際は、企業・個人を問わず細心の注意を払う必要があります。

Webサイト改ざんへの対策の一つとして、改ざん検知があります。改ざん検知とは、実際にWebサイト改ざんの疑いがある場合に、その異常を検知して管理者に通知するセキュリティシステムのことです。

HTTPやFTPによるリモート監視のほか、WebサーバーのOS上に改ざん検知プログラムをインストールして監視する方法があります。

改ざん検知の仕組み

では、改ざん検知はどのような仕組みで行われるのでしょうか。改ざん検知には、主に以下の4つの手法があります。それぞれの特徴を見ていきましょう。

ソース解析型

ソース解析型は、パターンマッチ型とも呼ばれています。過去に発生した改ざん情報を改ざんのパターンとしてシステムが記憶し、そのパターンと一致するものがあるかどうかを探る方法です。

実際に被害が報告された改ざん情報をもとに解析を行うため、よくある手法で改ざんが行われた場合は容易に検知することができます。ただし、あくまで過去の事例をもとに作成されたパターンファイルとの一致を探る方法であるため、新しいタイプの改ざんを検知することができないというデメリットがあります。

ハッシュリスト比較型

ハッシュリスト比較型は、サーバー内にあるファイルを定期的にハッシュ計算する方法です。計算を繰り返すことで変化があったファイルを特定し、「改ざんの疑いのあり」として管理者に知らせます。

振る舞い分析型

振る舞い分析型は、仮想のパソコンを使って改ざんを検知する方法です。仮想のパソコンでWebサイトをチェックし、振る舞いを分析します。異常な動作が発見された場合は改ざんの疑いがあるとして通知されます。

振る舞い分析型は、不正な動作があったかどうかを確認する方法であり、原因となったファイルを特定することができません。ファイルの特定は、別の方法で行う必要があります。

原本比較型

原本比較型は、原本となるWebサイトのデータを用意し、検知対象のWebサイトとの違いをチェックする方法です。システムは常時サイトを監視し、原本との違いを比較します。違いを発見すると、改ざんの疑いがあるとして通知する仕組みです。

原本比較型の改ざん検知システムを利用している場合は、Webサイトを更新した際に原本も同じように変更しておく必要があります。

改ざん検知にデメリットはある？

改ざん検知は、Webサイト改ざんに対応するセキュリティ対策の一つですが、以下のような注意点があります。

すべてのページに適用できないことがある
ドメイン数に制限があるケースが多い
監視間隔が長い場合がある（リアルタイム性に欠ける）
改ざんと更新の区別が難しい場合がある

リモート監視の場合、プランによっては検知できるページ数に制限があり、すべてのページを監視できない可能性があります。また、ドメイン数に制限があることもあります。自社で運営しているサイトが複数あり、それぞれに独立したドメインを使っている場合は、すべてのドメインに適用できるよう最適なプランを選ぶ必要があります。

改ざん検知サービスを選ぶ際は、監視間隔についても確認しておきましょう。リアルタイム監視が可能なインストール型もありますが、サーバーの負荷や権限の問題などで、全てのサーバーに改ざん検知を導入できないといったことも考えられます。

改ざん検知の製品・サービスを利用する際は、プランの内容や仕様をよく確認するようにしましょう。

改ざん検知が必要とされる背景

次に、改ざん検知が必要とされる背景について見ていきます。セキュリティ対策は多岐にわたりますが、改ざん検知はなぜ必要とされているのでしょうか。

Webサイト改ざん被害件数の増加

その背景には、Webサイト改ざんの被害件数の増加があります。企業や個人、サイトの規模に関係なく、あらゆるWebサイトが改ざんの被害を受ける可能性があります。Webサイトを運営しているのであれば、いつ誰が攻撃をを受けても不思議ではない状況なのです。

JPCERT／CCのインシデント報告対応レポートによると、2019年前半だけでもWeb改ざんの被害件数は485件にのぼります。

これはあくまでJPCERT／CCが被害報告を受けた件数であり、小規模なものや報告されていないものなどを含めれば、被害件数はもっと多いと推測できます。

具体的にどのような被害が想定される？

実際にWebサイトが改ざんされると、どのような不利益を被ることになるのでしょうか。Webサイト改ざんによる被害は、以下のようなものがあります。

企業情報などの重要な情報をいたずら目的で変えられる
本来必要のない場所にフォームが設置され、ユーザーの個人情報が盗まれる
サイト内にマルウェアが埋め込まれ、利用者のデバイスがウイルスに感染する

「いたずら目的で情報を書き換えられただけなら被害は少ない」と思われるでしょうか？Webサイトのページが改ざんされてしまい、不快な文章や画像を多くのユーザーが目にすることになれば、当然ながら企業のイメージダウンは避けられません。また「セキュリティ対策を怠っている企業」と思われてしまうでしょう。

自社サイトを「個人情報を盗む場所」「マルウェアなどに感染させる場所」として悪用されることは、絶対に避けなければなりません。場合によっては損害賠償に発展することもあるため、Webサイトの改ざん対策は不可欠といえます。

改ざん検知を活用することで、Webサイト改ざんやその疑いを早期に発見することができ、製品・サービスによっては自動復旧も可能です。

具体的な改ざん被害例

ここからは、実際にあったWeb改ざんの被害例を紹介します。

事例１：人気アーティストのYouTube被害

2018年、アメリカで人気アーティストのYouTube動画が改ざんの被害に遭いました。有名ストリーミングサイト・VevoのYouTubeチャンネルが、ハッカーによってハッキングされたことが原因です。動画のサムネイルが動画内容とはまったく関係のない画像に書き換えられ、動画も一時的に視聴できない状態になりました。

事例2：ホスティングサーバーの乗っ取り被害

2019年、大塚商会のホスティングサーバーが乗っ取りの被害に遭いました。調査により、約5000件にのぼる利用者のウェブサイトに不正なファイルが設置されたことが分かりました。

情報漏洩などはなかったとされていますが、有名企業のサーバーの乗っ取り被害は大きなニュースになりました。この攻撃では、WordPressのアカウント情報の侵害がきっかけであったとされています。

WordPressなど、有名なCMSを利用している場合、攻撃者によるターゲットになりやすく、特にログインの保護は重要な対策となっています。

事例3：外部サイトへ誘導される被害

2018年は、ソフトウェア開発や販売を行う株式会社SHFのコーポレートサイトが改ざんの被害に遭っています。コーポレートサイトにアクセスすると、外部サイトに誘導する不正なプログラムが仕込まれました。情報漏洩などの被害は確認されていないとされていますが、改ざん被害は11～12月で3回ありました。

事例4：偽の決裁フォーム誘導によるカード情報流出の被害

近年、増加しているのが、偽の決裁フォーム設置による個人情報漏洩の被害です。

2019年、カー用品やキャラクターグッズの企画・製造、販売を行うハセ・プロにおいて、偽の決裁フォーム誘導によるカード情報流出がありました。商品購入時にカード決済を選択した場合、偽の決済フォームに誘導するように改ざんされていました。カード情報入力後にエラー画面となり、後に正規の決済フォームへ遷移させて、通常通りのカード決済が行えるという手口であり、巧妙に仕組まれた事例であるといえます。