SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

Web改ざんはどのように行われるのか? その手口と対策

この記事をシェア

Webサイトの改ざんとは管理者以外の第三者が、不正にWebサイトを操作し別の情報に書き換えてしまうことを指す。今やインターネットに接続するパソコンやスマートフォン(以下、スマホ)が広く普及し、日常生活の一部としてWebサイトを閲覧している。悪意のある攻撃者はそのような状況に狙いを定め、罠を仕掛けてくる。この記事ではWebサイト改ざんの手口や事例、その対策などについて解説する。

Web改ざんはどのように行われるのか? その手口と対策

Webサイトの改ざんとは

Webサイトの改ざんとは、悪意のある第三者により、管理者の意図しない変更が勝手になされてしまうこと。Webサイトが抱える脆弱性や、FTPに接続する管理者のパソコンがマルウェアに感染することで引き起こされることが多い。Webサイトが改ざんされることで、所有者の意図に反する不適切な情報発信や、Webサイトの訪問者をマルウェアに感染させてしまうなどのトラブルに発展する恐れがある。

一般社団法人JPCERTコーディネーションセンターが2020年10月に公表した資料によると、Webサイト改ざんのインシデント報告件数は同年の7月から9月までの四半期で374件となり、前四半期の291件から1.3倍に増加している。なかでもWebサイトに埋め込まれた不正なコードにより、詐欺サイトへ強制的に転送されるという事例が、数多く確認されている。

Webサイト改ざんの具体的な手口

Webサイト改ざんの手口は大きく分けて二つに分類される。それぞれ解説する。

1)Webサイト等の脆弱性を突いた改ざん

一つ目はWebサイトやサーバーOSの脆弱性を突き、不正に改ざんする方法だ。IPA(独立行政法人情報処理推進機構)の調査によると、Webサイトの脆弱性で最も多く報告されているのはクロスサイト・スクリプティング(XSS)と呼ばれるものだ。他にもWebサイトで使用しているCMS(コンテンツマネジメントシステム)などの脆弱性を突いた攻撃も、過去には大きな問題として報道されている。代表的な脆弱性としては下記が挙げられる。

・SQLインジェクション
SQLはリレーショナルデータベースを操作するための言語である。Webサイトのフォーム内に不正にSQL文を入力することで、システムの誤動作を引き起こし、データの窃取や改ざんを行う。

・クロスサイト・スクリプティング(XSS)
不正なJavaScriptやHTMLなどを含んだリンクURLをクリックさせることで、ユーザーのWebブラウザーに偽ページなどを表示させる手法。

・クロスサイト・リクエストフォージェリ(CSRF)
ユーザーとWebサーバー間でのセッション管理の脆弱性を突いた攻撃。悪意のあるURLをユーザーにクリックさせることで、第三者がユーザーになりすまし不正な操作を行う。

・サーバーOSやCMSなどの脆弱性(ゼロデイ攻撃)
サーバーOSやCMSなどのアプリケーションに脆弱性が発見された場合、通常はベンダーから更新プログラムが提供される。しかし、ベンダーが更新プログラムを準備するまでの期間は無防備となってしまう。この脆弱な状況を狙った攻撃をゼロデイ攻撃という。

2)管理者アカウントの乗っ取りによる改ざん

Webサイトの管理者のパソコンが、マルウェアに感染するなどしてアカウント情報を窃取されるケースも少なくない。サーバーへのリモート接続が可能なアカウント情報を攻撃者に窃取されると、管理者のパソコン経由でFTPなどの通信を介し、正規の方法でWebサイトが改ざんされてしまう。この場合、改ざんのプロセスは管理者のパソコンによる正規の処理と同様のプロセスとなるため、発覚が遅くなる傾向にある。代表的な攻撃手法は下記の二つが挙げられる。

・標的型攻撃
標的型攻撃は特定の企業や組織を狙ったサイバー攻撃である。メールなどを起点にすることが多い。事前に攻撃対象を調べ上げ、メールの送信元や件名を巧みに偽装する。メールにファイルを添付したり、不正なURLを記載し偽サイトに誘導したりすることで、マルウェア感染や情報窃取を行おうとする。

・ソーシャル・エンジニアリング
人間の心理的な隙を突く攻撃手法。標的のユーザーに関連するさまざま情報を収集し、自然なやり取りで相手を信頼させてアカウントの奪取を企む。犯行はSNSやメールなどを用いて行われ、上記の標的型攻撃と併用されるケースが多い。

Webサイト改ざんによる被害事例

Webサイトの改ざんは、今もなおさまざまな場所で起こっている。実際に起きた事例をいくつか紹介する。

大手交通機関

2009年12月、大手交通機関のWebサイトのトップページやその他一部のページが悪意ある第三者の手によって改ざんされた。すぐに対策がなされたが、一部のWebページでは約2週間にわたり改ざんされた状態が続いていた。この時に使用されたのが「Gumblar(ガンブラー)」という攻撃手法で、Webページを閲覧すると別のWebページへ転送され、マルウェア感染を引き起こすリスクがあったとされている。2009年から2010年にかけて、この「Gumblar」によるWeb改ざんの被害が数多く報告されている。

大手自動車メーカー

2014年8月、大手自動車メーカーのWebサイトの一部が改ざんされ、閲覧したユーザーが外部サイトへ誘導されるように変更されていた。被害を受けたのは同社の「下取り参考価格シミュレーション」サイトである。Webサイトへアクセスすると外部サイトへリダイレクト(転送)され、マルウェアがダウンロードされる危険性があった。

地方私鉄

2020年8月、某私鉄のWebサイトにある新型コロナウイルス感染症の注意喚起ページが改ざんされるという事件が発覚した。Webサイトの管理画面へ不正アクセスを受けた可能性があり、同ページとは全く無関係なカジノサイトが表示されていた。同社の報告によると、約2週間にわたり改ざんされた状態が続いていたと推測されている。

Webサイト改ざんへの対策

Webサイトが改ざんされることで、企業は消費者をはじめとするステークホルダーからの信頼を失い、事業に大きな痛手を被ることになりかねない。改ざんを未然に防ぐための方法として、以下の10項目を解説する。

1)Web開発時の基本的な対策の徹底

Webサイトの改ざんは、開発時に積み残した脆弱性によって引き起こされる場合も少なくない。SQLインジェクションなどの脆弱性の芽を、初期の段階から摘み取ることが重要だ。IPAでは開発にあたり、下記を推奨している。

・セキュアプログラミング
セキュアプログラミング(セキュア開発)とは、要件定義から実装の各プロセスにおいて、脆弱性を作らないよう配慮した開発方法。上流工程から脆弱性に配慮することで、よりセキュリティを高めることができる。

・ソースコード診断
ソースコード診断はプログラムを解析し、セキュリティ的に問題がないかなどをチェックする仕組みを指す。これを行うことで、リリース前に脆弱性を洗い出せる可能性が高まる。

・脆弱性診断
脆弱性診断ではプログラムだけでなくネットワークやOSなど、さまざまな項目の脆弱性を網羅的に検査することができる。開発者が意図しなかった脆弱性が発見されることも少なくない。

2)セキュリティソフトの導入

事例でも解説したとおり、Webサイトの管理者や運用担当者のパソコンがマルウェアに感染することで、改ざんの起点となることも少なくない。アカウント情報の窃取による改ざんは、正規のプロセスであるため発覚が遅れやすいという特性もある。セキュリティソフトで端末を保護することで、リスクを低減することができる。

3)サーバーOSやミドルウェアなどのアップデート

WebサーバーのOSやミドルウェアなどは、常に最新の状態に保つ必要がある。複数のWebサイトを運用している場合に、同じWebサーバーOSやミドルウェアを利用していることも少なくない。一カ所で脆弱性が発見され、攻撃者に突破されてしまうと、管理している他のWebサイトへも被害が連鎖しかねない。

4)CMSなどのアップデート

Webサイトのメンテナンス用に導入しているWordPressをはじめとしたCMSも、常に最新の状態にアップデートしておくことが推奨されている。CMSには拡張機能となるプラグインも数多く提供されているが、これらのアップデートも必須となる。2018年にはWordPressのプラグインの脆弱性を突いたWeb改ざんの被害が多発している。

5)WAFの導入

WAF(Web Application Firewall)を導入することで、第三者の不正な攻撃を検知、遮断できる。WAFはSQLインジェクションなどWebアプリケーションの脆弱性を突いた攻撃を検知するだけでなく遮断も可能なため、万が一Webサイトに脆弱性が見つかった場合でも、改修までの期間を確保することができる。

6)IPアドレス制限やデバイス制限

Webサイトの管理ページへアクセスできるIPアドレスやデバイスを制限しておくのも有効だ。IPアドレスなどを制限することで、不審な端末からのアクセスをシャットダウンできる。

7)パスワード管理の徹底

Webサイト管理システムの運用において、パスワードポリシーを定めるなど、パスワード管理の徹底は基本的ながら必須の対策だ。パスワードを簡単なものに設定、あるいは使い回しをしているケースは少なくない。可能であれば、二段階認証やワンタイムパスワードなどの導入も検討したい。

8)SSL、VPNによる通信の暗号化

Webサイトへファイルをアップロードする際はSSL通信で暗号化して行うようにしたい。SSH(Secure Shell)を用いて暗号化する通信プロトコルとして、SFTP(SSH File Transfer Protocol)やSCP(Secure Copy Protocol)などがある。
また、外部から管理システムにアクセスする必要がある場合は、VPN(Virtual Private Network)で通信を暗号化しておくこと。通信時における情報の盗み見や改ざんを防ぐことができる。

9)ログの取得、監視

Webサーバーやネットワークのログを監視することで、不正なアクセスや攻撃などの兆候を検知することができる。また、改ざんが発生した場合、ログが適切に取得されていれば、原因追及も迅速かつ正確に行うことが可能となる。

10)ペネトレーションテストの定期的な実施

ペネトレーションテストはシステムに対し擬似的な攻撃を仕掛けることで、システム全体のセキュリティや運用プロセスにおける脆弱性を可視化する方法だ。脆弱性診断だけでは発見できないリスクをあぶり出すこともできる。

事業を危険に晒さないために

2009年から2010年にかけて「Gumblar」によるWeb改ざんの被害が相次いだ。その後、約10年経った今でも、Webサイト改ざんの被害はあとを絶たない。インターネットやスマホの急速な普及に伴い、企業にとってもはやWebサイトはビジネス活動になくてはならないものになっている。そしてその状況を逆手にとり、攻撃者はWebサイトに対する攻撃をさらに加速させている。

Webサイトの改ざんは、サービスの停止や被害にあった顧客への対応、ブランドの毀損など、企業の事業活動の継続に大きな支障をもたらしかねない。今や被害に遭うことは避けられない前提で考え、対策を講じておくことが求められる時代になってきている。

IPAによる「ウェブサイト改ざんの脅威と対策」の中で、その重要性を説いている「Webサイトの開発から運用までのシステムライフサイクルにおける、各工程でのセキュリティ対策」という考えのもと、Webサイト改ざんを防ぐ対策を推進してほしい。

この記事をシェア

Webサイトのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!