Skip to content

セキュリティマガジン TREND PARK

相次ぐWebサイト改ざん - その実態と対策

狙われる企業サイト、攻撃の被害から自社を守るためには


企業や公共機関のWebサイト改ざんが相次いでいます。攻撃者は、正規Webサイトを閲覧した訪問者を不正プログラムの仕掛けられたWebサイトやフィッシングサイトへ誘導しようとします。万が一、自社サイトが改ざんされ、閲覧者に不利益を与える事態になれば、ブランドイメージの毀損や社会的信用の失墜を招いてしまう恐れがあります。本稿では、Webサイト改ざんの事例とそのリスク、Webサイト改ざんに備えるセキュリティの考え方について解説します。

情報流出・サービス停止・ブランドイメージ毀損 ― Webサイト改ざんが招く深刻な被害

企業や公共機関の運営するWebサイトが改ざんされた事件を取り上げる報道が相次いでいます。JPCERT/CCによれば、2013年4月からの2ヶ月間に寄せられたWebサイト改ざんに関するインシデントはおよそ1,000件にも上るといい、また警察庁からは昨年と比べ2倍以上のペースでWebサイト改ざんの発生を確認していることが公表されています(※)。

Webサイトの改ざんは、サイバー攻撃者によるWebサイトへの不正アクセスによって引き起こされる被害で、その目的や手法はさまざまです。Webコンテンツを書き換えて自己顕示欲を満たそうとする愉快犯もいれば、サイト閲覧者を不正なWebサイトへ誘導し、不正プログラムに感染させるなどの悪意を持つ者もいます。

Webサイト改ざんと聞いて、多くの人が思い浮かべるのは、コンテンツの書き換えではないでしょうか。コンテンツの書き換えでは、特定の組織への中傷コメントを書き込む場合もあれば、社会的・政治的な声明を掲載する"ハクティビズム"を目的とする場合もあります。

しかし、Webサイト改ざんでより深刻なのは、自社が加害者になってしまう、サイト閲覧者や顧客に被害を与えてしまう例です。Webページに不正なスクリプトを埋め込み、Webページの閲覧者を不正プログラムの仕掛けられたWebサイトへ誘導する手口では、サイト閲覧者にまで被害が及ぶ恐れもあります。誘導されたWebサイトで、不正プログラムに感染した閲覧者が、ID・パスワードなどの個人情報が窃取されたり、偽の警告画面を表示し金銭を請求する被害も確認されています。このほか、オンラインショッピングサイトでは、決済時に行う顧客のクレジットカード情報の送信に際し、その情報が攻撃者にも伝わるよう処理を書き換えられてしまった被害も見られました。顧客のクレジット情報が万が一攻撃者の手に渡った場合、企業のみならず顧客にも被害が及んでしまいます。検索サイトやポータルサイトを経由して改ざん後のWebサイトにアクセスした場合にのみ、不正なコンテンツを表示するテクニックが用いられたケースもありました。これは、ブックマークやアドレスバーにURLを直接入力することで自社のWebサイトが脅威にさらされていないことをチェックするWeb管理者の特性を逆手にとり、攻撃の発覚を遅らせるのが狙いです。

このように自社のWebサイトが改ざんされ、サイト閲覧者を不正プログラムに感染させてしまったり、自社製品・サービス利用者である顧客の情報が窃取される事態になれば、サービスの停止やブラントイメージの損失など図りしれない損害を被る恐れがあります。

繰り返される攻撃の脅威、巧妙化する手口

Webサイトの改ざんは、新しい脅威ではありません。2009年末から2010年初頭には、不正プログラムに感染させたPCからFTPサーバのアカウント情報を窃取し、正規Webサイトに不正プログラムを埋め込むガンブラー攻撃とよばれるWebサイト改ざんの脅威が猛威を振るいました。アカウント情報の窃取による侵入手口は、2009年以降も継続的に確認されています。この手口の場合、サーバにセキュリティソフトを導入し、常に最新の状態にしていても、FTPサーバへのログインパスワードに推測されやすい文字列を設定していたり、複数のサービスやシステムでID/パスワードを使いまわしていると、Webサイト改ざんに遭うリスクは増大します。

こうした従来からの侵入手口に加え、ここにきて表面化してきているのが、脆弱性を狙った攻撃です。

次ページ 巧妙化する手口

記事公開日 : 2013.08.12

ページの先頭へ