昨年あたりから、連日のようにWebサイトからの情報漏洩を伝えるニュースを目にする。気になるのは件数の増加だけでなくその目的だ。以前は攻撃者の技術力の誇示や、社会的・政治的な主張を目的とした攻撃が多かったが、最近は利益を得るための攻撃が増加している。その結果、改ざんによる被害はWebサイトの利用者にダイレクトに降りかかるようになった。例えば、以下のような事例である。

・改ざんされたWebサイトにアクセスして、別サイトに誘導されIDやパスワードを入力してしまい、認証情報を盗まれてしまう。

・改ざんされたWebサイトにアクセスして、ウイルスに感染してしまう。

・改ざんされた通販サイトで偽の入力フォームにクレジットカード情報を入力させられ、クレジットカード情報を盗まれてしまう。

 特に2018年後半から相次いで報告されているのが、ECサイトのフォーム改ざんによるクレジットカード情報流出事件*1である。

*1 クレジットカード情報を「非保持化」してもなぜ漏れてしまったのか
https://active.nikkeibp.co.jp/atclact/active/17/081800125/012500014/

 ECサイト経由でクレジットカード情報が流出した場合、その事業にさまざまな打撃を受けることになる。なかには事業を継続できないケースもでてきた。例えば、2018年10月に発覚した、デジタルコンテンツを扱うマーケットプレイス「DLmarket」のクレジットカード情報流出事件では、最終的にDLmarketのサービス終了にまで至っている。

Webサイト改ざんの原因と対策

 Webサイトが改ざんされる原因には、大きく分けると以下の2つがある。

・Webアプリケーションやプラットフォームの脆弱性を悪用される。
・認証を突破される。

 脆弱性を悪用されるケースとしては、SQLインジェクション脆弱性やOSコマンドインジェクション脆弱性などにより、コンテンツやデータが直接書き換えられるほか、バックドアが設置され改ざんされることもある。Webアプリケーションに作り込まれた脆弱性はもちろん、サーバーOSやWebサーバーソフトウエア、フレームワークのほか、WordPressなどのCMSやCMSのプラグインに存在する既知の脆弱性が狙われる。

 認証を突破されるケースとしては、Webサイトの管理者用アカウントとパスワードが盗まれ、管理者権限でログインされてコンテンツが書き換えられるほか、パスワードリスト攻撃などの認証に対する攻撃が成功する、あるいは運用やメンテナンスのためのツールが不適切な状態で設置されていて認証なしでコンテンツの書き換えができる、といった場合がある。

 では、これらの原因に対し、どのような対策があるのだろうか。根本的な対策としては、Webサイトの脆弱性をなくし、その状態を維持することである。Webアプリケーション、プラットフォームそれぞれに脆弱性診断を実施し、もし脆弱性が見つかった場合は修正する。また、サーバーOSやミドルウエア、CMSなどは適時パッチをあて、常に最新の状態に保つことが重要だ。

 認証突破を防ぐには、何と言っても強固なパスワードをつけること。そして管理ツールのログイン画面に対するアクセス制限を実施する。管理者用アカウント、パスワードを盗まれないようにするには、管理者用端末のウイルス対策もしっかり実施しておきたい。さらに運用やメンテナンス用のツールも、適切に管理する必要がある。使用中はアクセス制限を実施し、使用後に不要なのであれば削除しておこう。

 手口と対策については、以下の資料が参考になるだろう。

Webサイト改ざんの脅威と対策(IPA)
https://www.ipa.go.jp/files/000041364.pdf

 そして大切なのは、改ざんされてしまった場合に、いち早く発見して対処することである。最近では脆弱性が公表されてから攻撃が実行されるまでの期間がどんどん短くなっていて、完全な防御は難しいのが現状だ。そこで、改ざんの早期発見のために有効なソリューションが、改ざん検知システムである。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。