セキュリティ

Webサイト改ざんの手法と防止対策

WordPressを使ったサイトが改ざんされないようにする予防的措置については、これまでの記事の中でも述べてきました。では、対策をとっていたにも関わらず、改ざんが起こってしまったら、企業のWeb担当者としては何をすればいいでしょうか? 万が一のサイバー攻撃に備えた“緊急時対応”を解説します。

Webサイトの改ざん

目次

Webサイトの改ざんとは

脆弱性攻撃による改ざん事例

「正規Webサイト改ざん」とは、企業が運営する正規Webサイト内のコンテンツやシステムが、意図しない状態に変更されてしまう攻撃のことをいいます。主にサーバーOS、Webサーバー、CMS(WordPressなど)、管理ツールなどミドルウェアの脆弱性が狙われます。Webサイト改ざんの事例は、大きく分けて次の2つのタイプがあります。

タイプ① メッセージが書き換えられる

1つめは、正規のコンテンツとは異なるいたずら的なメッセージや、攻撃者の主義主張のメッセージにWebページが書き換えられるという攻撃です。改ざんページを閲覧したユーザーに直接的な被害はありませんが、メッセージ内容で不快な気分にさせられたり、セキュリティ対策が甘い企業として、汚名を被る原因になってしまいます。

タイプ② 不正サイトにユーザーが誘導される

もうひとつは「ドライブバイダウンロード(Drive-by download)」攻撃と呼ばれるもので、改ざんページにアクセスしてきたユーザーを、リダイレクトなどで不正サイトへ誘導するものです。この場合は改ざんといっても、Webページにスクリプトを埋め込まれるため、見ため上は全く変わりません。ユーザーの知らない間にスクリプトが実行され、スパイウェア(ユーザーに関する情報を隠れて収集し、それを情報収集者へ自動的に送信するソフトウェア)などの不正なプログラムに感染させられます。

ユーザーが感染したことに気づきにくく、より重大な問題になるのはこちらのケースです。原因の発端は企業Webサイトということになるため、ユーザーが被った被害の内容に応じて、企業にも損害賠償が発生する可能性があります。

改ざんに気づくのは企業自身

このようなWebサイト改ざんは、攻撃者側からみると最大の効果を狙って、企業サイトのトップページに仕掛けられることが大半です。このため改ざんの発見については、企業側の担当者自身が何かおかしいと気づくことが多いように思います。また、JPCERTコーディネーションセンターのような情報セキュリティ対策支援を行なっている団体にユーザーの通報があって、JPCERTから企業に注意喚起がくるというケースもあります。

改ざん発見後の対処手順

外部からのアクセスを遮断する(サイトの閉鎖)

改ざんに気づいた時点で即座にWebサイトを閉鎖して、外部から一切アクセスされないようにします。タイプ①の攻撃であれば被害は自社内だけですみますが、タイプ②の攻撃の場合は、次々と被害者が拡大していってしまうためです。

また、Webサーバーから外部へ出ていくアクセスもあり、そちら側も遮断しないと危険です。もしもWebサーバーがウィルスに感染していた場合、勝手に攻撃を仕掛ける側になっているかもしれないからです。被害がそれ以上広がらないようにするために、Webサーバー自体を止めてしまうか、ネットワーク経路を遮断することが必要です。

アクセスの遮断

原因を特定して除去する

次は、Webサイトの保守担当者が行う作業です。改ざんされたファイルがどれかを機械的に特定するために、コンテンツファイルをPCにダウンロードしてウィルスチェックを実行します。最近のWindows PCにはもれなくウィルスチェックソフトが入っており、不正なコードが入った怪しいファイルがあると警告が表示されるので、警告ファイルの確認と削除を行います。

あるいは、Webサーバー上のファイルの更新日時から特定するという方法もあります。改ざんが起こったと考えられる期間が昨日から一週間以内であるとか、ファイルが更新された痕跡をもとに怪しいファイルを絞り込んで除去するという方法をとることもあります。

また、サーバーログから確認する方法もあります。サーバーにはFTPされた日時などアクセスログが保管されているので、怪しい動きがないかをアクセスログをチェックして、そこから原因を突き止めるというケースもあります。

復旧する

原因が特定できた、問題のファイルがすべて除去できた、と確認できてはじめて、閉鎖したWebサイトの復旧を行うことができます。被害の軽いものなら、改ざんを発見したその日のうちに復旧できる可能性もありますし、重大な事例やコンプライアンスの厳格な企業の場合はより慎重に、数日から一週間ほどかけて検証してから復旧させるケースもあります。

情報公開する

Webサイトが改ざんされたこと、復旧したことをお知らせすることも基本的に重要です。トップページのお知らせ欄などで報告することになりますが、この「復旧のお知らせ」を外部に公表するかしないか、するとしたらどのような報告内容にするかを決定するのにも、大きな組織の場合は数日間かかってしまうといったことがよくあります。

要は、改ざんされていた期間中にWebサイトを訪れたユーザーに対して、もしかするとウィルスに感染しているかもしれないと注意喚起することが大切なのです。改ざんの被害を受けた事実を隠さず、企業の責任として正しい情報を伝えるべきでしょう。

改ざん事件がニュースになったら

自社サイトに改ざんが起きたわけではなくても、同業種のWebサイトで改ざんが発覚し、ニュースになったようなときは「御社は大丈夫ですか?」等々、ユーザーからの問い合わせが増えることもありえます。ていねいな説明対応が必要になることはいうまでもありません。

いくつかの企業から「Web改ざん検知サービス」も提供されていますので、そのようなニュースが気になったら導入を検討してみるのもよいでしょう。

まとめ

改ざんの予防と一緒に、対処法も確認しておくと良いですね。
改ざんが起こってしまった時は、自社とユーザーの両者のために速やかに対処しましょう。


自社サイトのセキュリティが心配、ハッキング対策をもっと図っておきたい、とお考えではありませんか?
ITRAではセキュリティの高いCMS「iCMS」をご提供しております。お気軽にお問い合わせください。

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra