Webセキュリティ後回しになっていませんか?Webサイト改ざんのリスクと対策方法
- 2016年4月1日
- 4,264
2015年卒、2年目ライター。
知っていると得する情報を発信していけるよう、日々精進します!
毎日の業務の中で気になったことを綴っているブログ、Twitterともに毎日更新しています。よろしければそちらもチェックしてみてください。
>> 執筆記事一覧はこちら
Webサイトの改ざんは、個人情報の流出やウイルス感染などの被害を引き起こすリスクがあります。
その被害はサイト運営者に限らず、Webサイトを閲覧するユーザーにも及ぶ可能性があり、結果的にビジネスへ大きな影響を与える危険性があります。
Webサイトの改ざんと言われてもどこか他人事のように感じるかもしれませんが、Webサイトを運営する全ての方にとってのリスクなので対岸の火事ではありません。
自社で運営しているWebサイトが被害に遭わないためにも把握しておくべき原因と対策方法などをご紹介します。
▼最適なWebツール・サービスが比較できる「Marketer’s STORE」▼
100以上のツール・サービスの「製品資料・関連資料のダウンロード、導入事例の閲覧・相談・お問い合わせ・お見積り」がすべて無料でご利用可能。
https://mkst.ferret-plus.com/
このニュースを読んだあなたにオススメ
情報を漏洩しないための具体的対策
あなたのブログは大丈夫?WordPressのセキュリティと対策まとめ
ホームページ運営者は、SEOにおいてセキュリティ面の意識が必要不可欠
Webサイトの改ざん被害の状況
Webサイトの改ざんとは、企業や個人で運営しているWebサイトが悪意を持った人間によって意図しないものに変更されてしまうことです。
以下の調査データによれば、過去2015年の改ざん総被害件数は2,859件となっており、四半期ごとに見てみると、以下のような推移になっています。
参考:インシデント報告対応四半期レポート|JPCERT コーディネーションセンター
時期によって件数にばらつきがあるものの、直近の昨年末には四半期で最も被害件数が伸びていることが分かります。
恐らく、中には改ざんに気づいていない運営者もいるため、それらを含めれば実際は更に被害が多い可能性があります。
改ざんの手法と事例
Webサイトの改ざんは、さまざまな手法で行われていますが、主な手法として次のような例が挙げられます。
これらの手法によって改ざんの被害に遭うと、個人情報の流出、閲覧したユーザーのパソコンがウイルス感染してしまう、政治的思想を誇示した内容に書き換えられるなどの被害を受ける可能性があります。
それにもかかわらず、小規模な企業の場合、専任で監視する人材やコストを理由に十分な監視体制を設けられていないのが実情であり、外部から異常を指摘されるまで被害に気がつかないケースも少なくありません。
以下では、実際にあった被害例をご紹介していきます。
Webサイトの改ざんにより被害事例
WordPressで構築されたWebサイトの乗っ取り
WordPress乗っ取り対策しなかったらスパムの踏み台にされサーバー凍結、アップデート放置は危険!|はぴらき合理化幻想
Webサイトを構築する際に使われることの多いWordPressですが、定期的に更新されるバージョンをアップデートせずに約2年放置していたことによって、何者かに乗っ取られてスパムメールの踏み台にされてしまった、という事例です。
サーバの管理会社がアカウントを強制凍結し、最終的にWordPressの使用をやめてHTMLでWebサイトを構築することで解決しています。
Flash Playerの脆弱性を付いたウイルス感染
【速報】H.I.S.が改ざん被害、銀行ウイルス感染|IT&メディア : 読売新聞
画像処理ソフト「Flash Player」をアップデートしていないユーザーが、H.I.SのWebサイトを閲覧するとウイルスに感染してしまった、という事例です。
この事例では、ユーザーのパソコンがウイルスに感染した場合、講座情報などの個人情報が抜き取られてしまう可能性もあり、大きな話題となりました。
H.I.Sでは、謝罪と注意喚起を行うという対応が取られました。
改ざんを防ぐための対策方法
Webサイトの改ざんに対応するための対策は、大きく分けて以下の3つがあります。
1.改ざんの検知とアラート
完全にWebサイトを守ることは非常に難しいため、常に改ざんされていないかチェックしておく必要があります。
Webサイトを表示する際に読み込まれるHTMLはもちろん、ほかのファイルも監視できれば、リスクを軽減することができます。
ツールなどを使用せずに手軽にチェックする方法としては、グーグルの検索結果で「危険なホームページ」と表示されていないかを確認するという方法があります。
しかしこの方法では、改ざんに気がつくまで時間がかかってしまう可能性もありますので、改ざんが発見された時点でアラートしてくれる機能が実装されているツールを使用することをオススメします。
2.ソフトウェアやアプリ等に脆弱性対策
Webサイトで使用しているソフトウェアやアプリなどは、常に最新バージョンにアップデートしておきましょう。
先にご紹介したように、WordPressをアップデートしないまま放置したために、脆弱性をつかれて被害に遭ってしまったケースもあります。
特に、WordPressをはじめとしたCMSは、プラグインが豊富なことからも導入する前に、安全性を確認することが重要です。
3.Webサイトを管理しているパソコンの安全性対策
Webサイトを管理している管理画面やパソコン自体の安全対策も行っておく必要があります。
当然ながらWebサイトを管理しているパソコンには、必ずセキュリティ対策ソフトを導入しておきましょう。
また、ログイン用のアカウントやパスワードも簡単に解読できないような複雑なものに設定する、パソコンに搭載しているOSやブラウザ、アプリなどは常にアップデートして、最新バージョンにしておくことなど些細なところも意識しておくべきです。
Webサイト改ざんの対策ツール
万が一改ざんされてしまった場合は、該当のWebサイトを閲覧したユーザーに被害が拡大してしまわないよう早急な対応が必要です。
まず改ざんが発見されたWebサイトを閲覧できないように、メンテナンス表示に切り替えるなどの対応を行った後、直ちに改ざんされた被害の状況と原因を調査したうえで、修復する必要があります。
具体的な対策方法は、IPAが2014年に公開した資料にも明記されていますので、併せて参考にしてみましょう。
参考:ウェブサイト改ざんの脅威と対策 ~ 企業の信頼を守るために求められること ~
とはいえ、未然に防ぐことが最も重要なことですので、以下ではWebサイトの改ざんを防ぐツールについていくつかご紹介します。
SITE PATROL CLOUD
利用料金:19,800円〜/月
30日間の無料トライアルあり
Webサイトの改ざんを検出して、自動修復するツールです。
改ざんが検知されるとその旨をメールやSMS、電話で通知し、改ざんされたファイルの修復と証拠保全、メンテナンスページへの切り替えなどを行ってくれます。
さらに、このツールではWordPressの改ざんを記事単位で検出することも可能です。
先にご紹介したように、WordPressの脆弱性をついた攻撃が横行してますので、WordPressでWebサイト構築をしている場合は特にオススメのツールです。
gred
利用料金:5,000円〜/月
無料トライアルあり
ECサイトをはじめ、Webサイト全般における改ざんの有無を定期的にチェックし、Webサイトの安全を確保してくれるツールです。
このツールでは、一般的な閲覧と同様にWebサイトをチェックする機能があるため、サーバ側だけでは見つけることができない改ざんの検出も可能です。
改ざんが検知されると、アラートが送信され安全な画面に切り替えた上でレポートが提出されます。
WebAlert
http://www.securestar.jp/webalert/
利用料金:2,700円〜/月
30日間の無料トライアルあり
URLを登録するだけでWebサイトの改ざんをチェックすることができるツールです。
改ざんが発見された場合は、メールでアラートが通知されます。
画面の切り替えや修復機能はないため通知が来たらWebサイト運営者側で対応が必要となりますが、今回ご紹介したツールの中では最安値で導入することができます。
まとめ
Webサイトを運営するすべての人にとってWebサイトの改ざんを受ける可能性があり、過去の例を見ればその被害も大きなものです。
しかし、小規模な企業をはじめ、直接売上に貢献しないために後回しになっている企業も少なくないのが現状です。
例えこれまで被害を受けていないとしても、ある日突然、改ざんされるという可能性も否定できません。
今回ご紹介した改ざんをチェックするツールを活用すれば、人的コストをかけずともリスクを軽減することができますので、今回ご紹介したツールを含め、早急に監視システム等の導入を検討しましょう。
▼最適なWebツール・サービスが比較できる「Marketer’s STORE」▼
100以上のツール・サービスの「製品資料・関連資料のダウンロード、導入事例の閲覧・相談・お問い合わせ・お見積り」がすべて無料でご利用可能。
https://mkst.ferret-plus.com/
このニュースを読んだあなたにオススメ
情報を漏洩しないための具体的対策
あなたのブログは大丈夫?WordPressのセキュリティと対策まとめ
ホームページ運営者は、SEOにおいてセキュリティ面の意識が必要不可欠
このニュースに関連するカリキュラム
