他人事ではすまされないWebサイトの改ざん被害、今できる対策方法は？

一時に比べれば下火になってきたものの、Webサイトの改ざん被害は後を絶ちません。つい先日（2019年1月）にも、新潟県警のホームページへの不正アクセスおよびページの改ざんがニュースになったばかりです。

最近では、Webサイトの改ざんは、大量の個人情報を取り扱う大規模サイトではなく、セキュリティ対策が不十分と思われるようなWebサイトが狙われる傾向にあります。

今回は、Webサイト改ざんとその対策について解説いたします。

Webサイトの改ざんはなぜ起こるのか

JPCERTコーディネーションセンターの発表「Webサイトへのサイバー攻撃に備えて 2018年7月」によれば、 2018年の月別のWebサイトの改ざん件数は、2016年、2017年に比べると少ないものの、毎月100件前後で推移しています。報告されなかった改ざん、あるいは気づかれていない改ざんも含めると、数はさらに膨らみます。

件数が減っている背景には運営者側のセキュリティ意識の向上があります。しかし、それでもゼロにならないのはなぜでしょうか。また、そもそもWebサイトの改ざんはなぜ起こるのでしょうか？

「Webサイト改ざん」といえば、昔は文字や画像などを差し替えるといった、見た目でそれとわかるものでした。目的も、政治的なメッセージを発することやイタズラなどが主流でした。

しかし、近年のWebサイト改ざんは、金銭目的へと変わってきており、Webサイトにマルウェアやウイルスを仕込んで閲覧者に感染させるタイプが増えてきています。こうして得た個人情報（アカウント情報を含む）を売買することもありますが、閲覧者をネットバンキングサイト、ECサイトを模した偽サイトへ誘導しさらなる情報や金銭を詐取するケースが増加しているのです。

よって、「自社のWebサイトでは、クレジットカード情報を扱っているわけでもないし、狙われるほどの価値はない」と思い込んでセキュリティが手薄になっているWebサイトも攻撃者の格好のターゲットになってしまいます。

Webサイトの改ざん事例

実際に国内外で被害に遭ったWebサイトの改ざん事例をいくつかご紹介します。

【事例1】都立動物園・水族園（東京都）

2016年7月、東京動物園・水族園の公式ホームページ「東京ズーネット」が外部からの不正アクセスにより改ざんを受けました。東京都は同日、改ざんされたページを削除し、ホームページを閉鎖しましたが、不正アクセスによりメールマガジン登録者のアドレス2万1,688件および、「東京動物園友の会」への加入についての問い合わせをした個人情報（氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項）が流出しました。
〈参考〉https://www.hazardlab.jp/know/topics/detail/1/5/15691.html

【事例2】YouTube（米国）

2018年4月、米YouTubeでストリーミングサイトVevoのYouTubeチャンネルが改ざん被害に遭いました。人気アーティストの音楽ビデオのサムネイル画像が、マスク姿で銃を構える集団の画像に置き換えられ、一時は視聴できない状態になりました。
のちに、犯人を名乗る人物からいたずらでやったとのツイートがあったといいます。
〈参考〉http://ascii.jp/elem/000/001/717/1717302/

【事例3】株式会社SHF（京都府）

ソフトウェアの開発や販売を手がける株式会社SHFのコーポレートサイトが、2018年11月から12月にかけて3度にわたり改ざん被害に遭いました。アクセスすると自動的に、悪意のある外部サイトへ誘導されてしまう状態だったといいます。改ざんによる情報漏えいは確認されておらず、現在は、攻撃対象となった脆弱性のあるプログラムを削除し、復旧も完了しているとのことです。
〈参考〉https://scan.netsecurity.ne.jp/article/2018/12/07/41705.html

Webサイトの改ざん手口

Webサイトの改ざん手口には、大きく分けて「脆弱性を狙ったもの」と「管理者用アカウントを乗っ取って行うもの」の2種類があります。

ケース1　脆弱性を狙う手口

サーバーOS 、またはWebサーバー上で動くCMSや管理ツール、データベース管理システムなどのミドルウェアの脆弱性を攻撃したうえでWebサイト改ざんを行う手口です。

さらに、直接コンテンツの改ざんを行う方法と、バックドア（正規の手続きを踏まずに内部へ侵入できるようにする入口）を設置したうえで改ざんする方法に分かれます。

ケース2　管理者用アカウントを乗っ取る手口

管理者用のアカウント情報を盗み、これを使ってリモートでアクセスして改ざんを行う手口です。Webサイトの操作としては正規の方法であるため、改ざん被害に気づきにくいという特徴があります。

いずれのケースも改ざんの内容としては、①意図しないメッセージや不適切な画像の掲載により企業や組織のイメージダウンを図るものと、②閲覧したユーザーを不正サイトへ誘導し不正プログラムを感染させたり、Webサイトが保有する個人情報や機密情報などが漏えいしたりする、という2パターンがあり、近年①から②へとシフトしてきています。

①では、ユーザーへの実害は発生しませんが、②ではユーザーに直接的な被害が生じます。また、いずれにしても運営企業側もセキュリティ対策の管理責任を問われ、社会的な信用も大きく失墜することとなります。

Webサイトの改ざん対策

実際にWebサイト改ざんが行われてしまうと管理者側では気づきにくいケースが多く、ユーザーの指摘により初めて気づくこともあるようです。また、見た目からは判断できない改ざんも増えてきており、数ヵ月が経過してから気づくということもあります。

2017年に改訂された「サイバーセキュリティ経営ガイドライン Ver.2.0」（経済産業省）において、「サイバーセキュリティ経営の重要10項目」の中の「指示8 インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」について記載が追加されました。これにより、業種業態を問わずWebサイトを保有する企業や組織には、サイバーセキュリティ対策として「復旧への備え」をしておくことが求められるようになりました。

改ざん被害を受けた後の流れは、サイトの公開を停止して原因を究明し、修正と復旧を行って再公開、となります。しかし、復旧までに数ヵ月かかることも多く、特にECサイトなどであれば閉鎖による機会損失は甚大なものになります。よって、改ざんされてからの対策ではなく、未然に防ぐ対策が重要です。

以下で、具体的にWebサイト改ざんを防ぐ方法をご紹介します。

自社サイトの脆弱性を診断する

まずは、自社サイトの脆弱性を診断してみましょう。URLを入力するだけで、マルウェアが含まれていないか、Webサイトの改ざんが行われていないかといったセキュリティチェックをしてくれる無料サービスが数多く出回っているので、それらを使えば簡易的なセキュリティチェックは可能です。

ただ、脆弱性を診断するには、ある程度の知識が求められます。自力で行う場合は、IPA（情報処理推進機構）の公開している「安全なウェブサイトの作り方」などを参照しながら目視でチェックするしかありません。

最低限、脆弱性チェックをしておきたい項目としては、下記が挙げられます。

・SQLインジェクション

・クロスサイトスクリプティング

・クロスサイトリクエストフォージェリ

・パス名パラメータ

・OSコマンドインジェクション

・ディレクトリ・リスティング

・メールヘッダ・インジェクション

・ディレクトリ・トラバーサル

・クリックジャッキング

・意図しないリダイレクト

・HTTPヘッダ・インジェクション

・セッション

・認証機能

これらをチェックするだけでも手間がかかりますが、現時点ではセキュアなことがわかっても、今後の改ざんを防ぐために継続してチェックしていく必要があります。脆弱性診断をアウトソーシングするという方法もおすすめです。

WAFでリスクを可視化する

Webサイト改ざんの手口の1つである「脆弱性を攻撃するタイプ」を防ぐために導入をおすすめしたいのがWAF（Web Application Firewall）です。WAFはWebサイト上のアプリケーションに特化したファイアウォールで、複数のWebアプリケーションの脆弱性に対する攻撃を一括で防ぐほか、攻撃された際は検出してくれます。

WAFを活用することで、実際にWebサイト改ざんなどとサイバー攻撃を受けた際に、どこからどのような攻撃が行われているのか状況を把握することができるようになります。アイネスでは、新機軸のクラウド型WAF「WebARGUS Fortify」を提供しています。WebARGUS Fortifyはクラウドサービスですので低コストでスピーディーに導入が可能です。

改ざんリスクがある場合には、「Peacock tail」で対策を

WAFでサイバー攻撃が検知され、改ざんリスクを感じた場合は、すみやかにWebサイトの改ざん防止対策を取る必要があるでしょう。

アイネスでは、24時間・365日、Webサイトを運用監視し、Webサイト改ざんが発生した際に瞬時に検知し瞬時（0.1秒）に復旧するサービス「Peacock tail（ピーコック・テイル）」を提供しています。

Peacock tailは、バックアップファイルとの突合せにより改ざんを検知するため、攻撃手法に関係なく対策可能です。また、クラウド型サービスのため、サーバーのご用意も必要ありません。

詳しくは、下記よりお問い合わせください。