今更聞けない「Webサイト改ざん」とは？

企業がWebサイトを運用するのが当たり前の時代になってからというもの、改ざん被害が後を絶ちません。サイバー犯罪者がWebサイトを改ざんする目的は、いたずらから政治的攻撃まで実に様々で、公開しているWebサイトのすべてがその脅威にさらされています。

本稿では、依然として多発しているWebサイト改ざんについて解説します。正しい対策を実施するには、まず攻撃の特徴や手口を正しく理解することがポイントになります。ここでWebサイト改ざんについて知り、今後Webサイトセキュリティに役立てていただければと思います。

Webサイト改ざんの発生件数

まずは、JPCERTコーディネーションセンターに寄せられたインシデント情報からWebサイト改ざんの発生件数についてご紹介します。

『JPCERT/CC インシデント報告対応レポート [2024年4月1日～2024年6月30日]』によれば、2024年1月～6月までに発生したWebサイト改ざん件数は100件です。2023年の同期間に発生した件数が673件なので、前年比573件減となり、減少傾向にあります。

ただし、これらはあくまでJPCERTコーディネーションセンターに寄せられたインシデント情報に限った話ですので、実際の件数は未知数です。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

Webサイト改ざんはなぜ起こる？

Webサイト改ざんが発生する主な原因は「脆弱性を悪用した攻撃」と「アカウント乗っ取り」です。脆弱性とは、Webアプリケーション等を開発している段階で発生するセキュリティ上の欠陥のことです。これをゼロにすることは現実的に不可能であり、脆弱性が発覚すれば多くのサイバー犯罪者はすぐに悪用し、サイバー攻撃を実行します。

よくある脆弱性を悪用した攻撃には、以下のようなものがあります。

SQLインジェクション

SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがある。

関連記事：WAFによるSQLインジェクション攻撃の防御 

クロスサイトスクリプティング

脆弱な標的サイトへアクセスするように仕向けることで、ウェブサイトが本来想定していない機能（スクリプト実行など）をブラウザ側で実行させる。Cookieのセッション情報が盗まれるなどの恐れがある。

クロスサイトリクエストフォージェリ

対象ウェブサイトの投稿や登録といった重要な機能について、他のサイトから本来の手順を経ずにクライアントに実行させる。なりすまし投稿などに悪用される恐れがある。

OSコマンドインジェクション

OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがある。

ディレクトリトラバーサル

ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする。本来公開を意図していないファイルへの参照・実行の恐れがある。

改行コードインジェクション（HTTPヘッダ、メールヘッダ）

改行コードを含んだ入力データを送信して、HTTPレスポンスヘッダやHTTPレスポンスを改ざんする。クライアントは偽りのCookieやページ内容による影響を受ける可能性がある。任意のメールヘッダの挿入や本文の改変、不正なメール送信に悪用される可能性もある。

アカウント乗っ取り

わざわざ脆弱性を狙わなくても管理者アカウントを乗っ取られることで、簡単にWebサイトを改ざんされてしまいます。

管理者が設定したパスワードが簡素なものだと、それを解読するのに多くの時間はかかりません。アカウントが一度乗っ取られれば、家の内側から鍵をかけるようにパスワード情報を変更され、簡単にはアクセスできない状態になります。あるいは管理者アカウントに不正アクセスされていることに気づかず、秘密裏にWebサイトが改ざんされている可能性があります。

以上が、Webサイト改ざんが発生する主な経路です。

Webサイト改ざんを防ぐには？

Webサイトが改ざんされると、サービスや会社の信頼が低下するだけでなく、偽サイトや偽の決済ページに誘導されるような改ざんがあった場合には、利用者のマルウェア感染や個人情報が流出するといった被害が生じる可能性もあります。そのため、Webサイトの運営者はあらゆるリスクを想定し、セキュリティ対策を実施しなければなりません。では、Webサイト改ざんを防ぐためのセキュリティにはどのような方法があるのでしょうか？

開発段階から脆弱性のない実装に努める

脆弱性が生じる原因は開発時のコーディングにあります。脆弱性をゼロにすることは困難であっても、それを目指した実装に取り組み、開発を進めることは可能です。これを「セキュアコーディング」といいます。

定期的に脆弱性診断を実施する

Webサイトのどこに脆弱性が潜んでいるか分からない状況において、定期的に脆弱性診断を実施することは大切です。専用サービスを使用したりセキュリティベンダーに依頼したり、方法は様々です。脆弱性の存在に気づければ、対処もできます。

Webサイトを構成するソフトウェアを最新状態に保つ

多くの会社は、Webサイト等を構築するにあたって共通のWebアプリケーションやフレームワークを使用しています。そのため、開発団体やベンダーから配信されるプログラム更新へ常に対応することが、脆弱性を持たない対策になります。

不要なアカウントを作らない

テスト用などで作成したアカウントは、使用したらすぐに削除しましょう。不用なアカウントを持ち続けることでそれが悪用され、不正アクセスによってWebサイト改ざんに至るケースが少なくありません。

複雑かつユニークなパスワードを設定する

管理者アカウント等に設定するパスワードは、必ず複雑かつユニークなものにしましょう。最低でも10文字以上で、半角英数字、大文字小文字、記号を組み合わせて容易には解読できないようにします。

ログインページを保護する

管理者ページのアクセス制限や画像認証（CAPTCHA）、ログインロックなど、複数の対策でログインページを保護することは、不正ログイン対策にとても有効です。

多要素認証を設定する

従来利用しているID/パスワードによる1要素の認証のほかに、ワンタイムパスワード認証や生体認証など、複数の要素で認証することで不正ログインの対策を行います。

WAF（Web Application Firewall）を導入する

WAFは脆弱性を修正できない状況下においても、クライアントとWebサイト・Webアプリケーションの間に介在して通信内容を監視するセキュリティ製品です。

脆弱性の有無に関係なくWebサイトを保護できるので、更新プログラムをすぐに適用できない場合など、効果的にWebサイトを保護できます。

Webサイト改ざんを防止し、信頼を維持しよう！

Webサイト改ざんは、単にページ内容を勝手に変更するだけでなく、偽の決済ページでユーザーのクレジットカード情報が漏えいしたり、アカウントが乗っ取られるなど深刻な被害も発生しています。

EGセキュアソリューションズ株式会社が開発・販売する「SiteGuardシリーズ」は、Webアプリケーションの脆弱性を悪用する様々な攻撃に対し高い防御性能とユーザビリティの両立を実現した純国産のWAF製品です。

クラウド型「SiteGuard Cloud Edition」、ホスト型「SiteGuard Server Edition」、ゲートウェイ型「SiteGuard Proxy Edition」をご用意し、様々なお客様のご要件に合わせてご利用いただくことができます

Webサイト改ざんを防止し、会社の信頼や個人情報を守るためにも、WAF導入などで適切なWebサイトセキュリティを実施しましょう。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。