今更聞けない「Webサイト改ざん」とは?

 2019.10.04  株式会社ジェイピー・セキュア

企業がWebサイトを運用するのが当たり前の時代になってからというもの、改ざん被害が後を絶ちません。サイバー犯罪者がWebサイトを改ざんする目的は、いたずらから政治的攻撃まで実に様々です。無差別に攻撃が実行されるケースも多く、公開しているWebサイトのすべてがその脅威にさらされているといえます。

本稿では、依然として多発しているWebサイト改ざんについて解説します。正しい対策を実施するには、まず攻撃の特徴や手口を正しく理解することがポイントになります。ここでWebサイト改ざんについて知り、今後Webサイトセキュリティに役立てていただければと思います。

Webサイト改ざんの発生件数

まずは、JPCERTコーディネーションセンターに寄せられたインシデント情報からWebサイト改ざんの発生件数についてご紹介します。

JPCERT/CC インシデント報告対応レポート [2019年4月1日~2019年6月30日]』によれば、2019年1月~6月までに発生したWebサイト改ざん件数は485件です。2018年の同期間に発生した件数が588件なので、前年比105件減となり、減少傾向にあるように感じます。ただし、これらはあくまでJPCERTコーディネーションセンターに寄せられたインシデント情報に限った話ですので、実際の件数は未知数です。

特に、2017年2月に発生したWord Pressの脆弱性のように、突如として世界中に被害が拡大するような脆弱性が発見されることもあるので、警戒の手は緩められません。

参考資料

JPCERT/CC インシデント報告対応レポート [2018 年 10 月 1 日 ~ 2018 年 12 月 31 日]

Webサイト改ざんはなぜ起こる?

Webサイト改ざんが発生する主な原因は「脆弱性」と「アカウント乗っ取り」です。脆弱性とは、Webアプリケーション等を開発している段階で発生するセキュリティ上の欠点のことです。これをゼロにすることは現実的に不可能であり、脆弱性が発覚すれば多くのサイバー犯罪者はすぐに悪用し、サイバー攻撃を実行します。よくある脆弱性を突いた攻撃に、以下のようなものがあります。

SQLインジェクション

SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがある。

関連記事:WAFによるSQLインジェクション攻撃の防御

クロスサイトスクリプティング

脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる。Cookieのセッション情報が盗まれるなどの恐れがある。

クロスサイトリクエストフォージェリ

対象ウェブサイトの投稿や登録といった重要な機能について、他のサイトから本来の手順を経ずにクライアントに実行させる。なりすまし投稿などに悪用される恐れがある。

OSコマンドインジェクション

OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがある。

ディレクトリトラバーサル

ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする。本来公開を意図していないファイルへの参照・実行の恐れがある。

改行コードインジェクション(HTTPヘッダ、メールヘッダ)

改行コードを含んだ入力データを送信して、HTTPレスポンスヘッダやHTTPレスポンスを改ざんする。クライアントは偽りのCookieやページ内容による影響を受ける可能性がある。任意のメールヘッダの挿入や本文の改変、不正なメール送信に悪用される可能性もある。

わざわざ脆弱性を狙わなくても管理者アカウントを乗っ取られることで、簡単にWebサイトを改ざんされてしまいます。管理者が設定したパスワードが簡素なものだと、それを解読するのに多くの時間はかかりません。アカウントが一度乗っ取られれば、家の内側から鍵をかけるようにパスワード情報を変更され、簡単にはアクセスできない状態になります。あるいは管理者アカウントに不正アクセスされていることに気づかず、秘密裏にWebサイトが改ざんされている可能性があります。

以上が、Webサイト改ざんが発生する主な経路です。

 

Webサイト改ざんを防ぐには?

Webサイトが改ざんされると、サービスや会社の信頼が低下したり、ユーザーに迷惑をかけるだけでなく、偽サイトや偽の決済ページに誘導されて情報漏えいに至る可能性もあります。そのため、運用者はあらゆるリスクを想定し、セキュリティ対策を実施せねばなりません。では、Webサイト改ざんを防ぐためのセキュリティにはどういった種類があるのでしょうか?

開発段階から脆弱性を生まないよう心掛ける

脆弱性が生まれる原因は開発時のコーディングにあります。脆弱性をゼロにすることは困難であっても、脆弱性のない実装に取り組み、開発を進めることは可能です。これを「セキュアコーディング」といいます。

定期的に脆弱性診断を実施する

Webサイトのどこに脆弱性が潜んでいるか分からない状況において、定期的に脆弱性診断を実施することは大切です。専用サービスを使用したりセキュリティベンダーに依頼したり、方法は様々です。脆弱性の存在に気づければ、対処もできます。

Webサイトを構成するソフトウェアを最新状態に保つ

多くの会社は、Webサイト等を構築するにあたって共通のWebアプリケーションやフレームワークを使用しています。そのため、開発団体やベンダーから配信されるプログラム更新へ常に対応することが、脆弱性を持たない対策になります。

不要なアカウントを作らない

テスト用などで作成したアカウントは、使用したらすぐに削除しましょう。不用なアカウントを持ち続けることでそれが悪用され、不正アクセスによってWebサイト改ざんに至るケースが少なくありません。

複雑かつユニークなパスワードを設定する

管理者アカウント等に設定するパスワードは、必ず複雑かつユニークなものにしましょう。最低でも10文字以上で、半角英数字、大文字小文字、記号を組み合わせて容易には解読できないようにします。

ログインページを保護する

管理者ページのアクセス制限や画像認証(CAPTCHA)、ログインロックなど、複数の対策でログインページを保護することは、不正ログイン対策にとても有効です。

WAF(Web Application Firewall)を導入する

WAFは脆弱性を修正できない状況下においても、WebサイトとWebアプリケーションの間に介在して通信内容を監視するセキュリティ製品です。脆弱性の有無に関係なくWebサイトを保護できるので、更新プログラムをすぐに適用できない場合など、効果的にWebサイトを保護できます。

Webサイト改ざんを防止し、信頼を維持しよう!

Webサイト改ざんは、単にページ内容を勝手に変更するだけでなく、偽の決済ページでユーザーのクレジットカード情報が漏えいしたり、アカウントが乗っ取られるなど深刻な被害も発生しています。

SiteGuardシリーズは、お客様のネットワーク構成やシステム要件に合わせて、ホスト型WAF「SiteGuard Server Edition」(サイトガード サーバーエディション)とゲートウェイ型WAF「SiteGuard Proxy Edition」(サイトガード プロキシエディション)をご用意しています。

Webサイト改ざんを防止し、会社の信頼や個人情報を守るためにも、WAF導入などで適切なWebサイトセキュリティを実施しましょう。

WAFとは ~ SiteGuardシリーズが選ばれる理由 ~

SITEGUARD
ジェイピー・セキュアソフトウェアライセンス価格表

RELATED POST関連記事


RECENT POST「技術動向」の最新記事


今更聞けない「Webサイト改ざん」とは?
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧