Webセキュリティ後回しになっていませんか?Webサイト改ざんのリスクと対策方法
- 2016年4月1日
- 4,744
2015年卒、2年目ライター。
知っていると得する情報を発信していけるよう、日々精進します!
毎日の業務の中で気になったことを綴っているブログ、Twitterともに毎日更新しています。よろしければそちらもチェックしてみてください。
>> 執筆記事一覧はこちら
Webサイトの改ざんは、個人情報の流出やウイルス感染などの被害を引き起こすリスクがあります。
その被害はサイト運営者に限らず、Webサイトを閲覧する
ユーザー
にも及ぶ可能性があり、結果的にビジネスへ大きな影響を与える危険性があります。
Webサイトの改ざんと言われてもどこか他人事のように感じるかもしれませんが、Webサイトを運営する全ての方にとってのリスクなので対岸の火事ではありません。
自社で運営しているWebサイトが被害に遭わないためにも把握しておくべき原因と対策方法などをご紹介します。
▼最適なWeb
ツール
・サービスが比較できる「Marketer’s STORE」▼
100以上の
ツール
・サービスの「製品資料・関連資料のダウンロード、導入事例の閲覧・相談・お問い合わせ・お見積り」がすべて無料でご利用可能。
https://mkst.ferret-plus.com/
このニュースを読んだあなたにオススメ
情報を漏洩しないための具体的対策
あなたのブログは大丈夫?WordPressのセキュリティと対策まとめ
ホームページ運営者は、SEOにおいてセキュリティ面の意識が必要不可欠
Webサイトの改ざん被害の状況
Webサイトの改ざんとは、企業や個人で運営しているWebサイトが悪意を持った人間によって意図しないものに変更されてしまうことです。
以下の調査データによれば、過去2015年の改ざん総被害件数は2,859件となっており、四半期ごとに見てみると、以下のような推移になっています。
参考:インシデント報告対応四半期レポート|JPCERT コーディネーションセンター
時期によって件数にばらつきがあるものの、直近の昨年末には四半期で最も被害件数が伸びていることが分かります。
恐らく、中には改ざんに気づいていない運営者もいるため、それらを含めれば実際は更に被害が多い可能性があります。
改ざんの手法と事例
Webサイトの改ざんは、さまざまな手法で行われていますが、主な手法として次のような例が挙げられます。
これらの手法によって改ざんの被害に遭うと、個人情報の流出、閲覧した ユーザー のパソコンがウイルス感染してしまう、政治的思想を誇示した内容に書き換えられるなどの被害を受ける可能性があります。
それにもかかわらず、小規模な企業の場合、専任で監視する人材やコストを理由に十分な監視体制を設けられていないのが実情であり、外部から異常を指摘されるまで被害に気がつかないケースも少なくありません。
以下では、実際にあった被害例をご紹介していきます。
Webサイトの改ざんにより被害事例
WordPress で構築されたWebサイトの乗っ取り
WordPress乗っ取り対策しなかったらスパムの踏み台にされサーバー凍結、アップデート放置は危険!|はぴらき合理化幻想
Webサイトを構築する際に使われることの多い
WordPress
ですが、定期的に更新されるバージョンをアップデートせずに約2年放置していたことによって、何者かに乗っ取られて
スパム
メールの踏み台にされてしまった、という事例です。
サーバ
の管理会社が
アカウント
を強制凍結し、最終的に
WordPress
の使用をやめて
HTML
でWebサイトを構築することで解決しています。
Flash Playerの脆弱性を付いたウイルス感染
【速報】H.I.S.が改ざん被害、銀行ウイルス感染|IT&メディア : 読売新聞
画像処理ソフト「
Flash
Player」をアップデートしていない
ユーザー
が、H.I.SのWebサイトを閲覧するとウイルスに感染してしまった、という事例です。
この事例では、
ユーザー
のパソコンがウイルスに感染した場合、講座情報などの個人情報が抜き取られてしまう可能性もあり、大きな話題となりました。
H.I.Sでは、謝罪と注意喚起を行うという対応が取られました。
改ざんを防ぐための対策方法
Webサイトの改ざんに対応するための対策は、大きく分けて以下の3つがあります。
1.改ざんの検知とアラート
完全にWebサイトを守ることは非常に難しいため、常に改ざんされていないかチェックしておく必要があります。
Webサイトを表示する際に読み込まれる
HTML
はもちろん、ほかのファイルも監視できれば、リスクを軽減することができます。
ツール
などを使用せずに手軽にチェックする方法としては、グーグルの
検索結果
で「危険なホーム
ページ
」と表示されていないかを確認するという方法があります。
しかしこの方法では、改ざんに気がつくまで時間がかかってしまう可能性もありますので、改ざんが発見された時点でアラートしてくれる機能が実装されているツールを使用することをオススメします。
2.ソフトウェアや アプリ 等に脆弱性対策
Webサイトで使用しているソフトウェアや
アプリ
などは、常に最新バージョンにアップデートしておきましょう。
先にご紹介したように、
WordPress
をアップデートしないまま放置したために、脆弱性をつかれて被害に遭ってしまったケースもあります。
特に、 WordPress をはじめとした CMS は、 プラグイン が豊富なことからも導入する前に、安全性を確認することが重要です。
3.Webサイトを管理しているパソコンの安全性対策
Webサイトを管理している管理画面やパソコン自体の安全対策も行っておく必要があります。
当然ながらWebサイトを管理しているパソコンには、必ずセキュリティ対策ソフトを導入しておきましょう。
また、ログイン用の アカウント やパスワードも簡単に解読できないような複雑なものに設定する、パソコンに搭載している OS や ブラウザ 、 アプリ などは常にアップデートして、最新バージョンにしておくことなど些細なところも意識しておくべきです。
Webサイト改ざんの対策 ツール
万が一改ざんされてしまった場合は、該当のWebサイトを閲覧した
ユーザー
に被害が拡大してしまわないよう早急な対応が必要です。
まず改ざんが発見されたWebサイトを閲覧できないように、メンテナンス表示に切り替えるなどの対応を行った後、直ちに改ざんされた被害の状況と原因を調査したうえで、修復する必要があります。
具体的な対策方法は、IPAが2014年に公開した資料にも明記されていますので、併せて参考にしてみましょう。
参考:ウェブサイト改ざんの脅威と対策 ~ 企業の信頼を守るために求められること ~
とはいえ、未然に防ぐことが最も重要なことですので、以下ではWebサイトの改ざんを防ぐ ツール についていくつかご紹介します。
SITE PATROL CLOUD
利用料金:19,800円〜/月
30日間の無料トライアルあり
Webサイトの改ざんを検出して、自動修復する
ツール
です。
改ざんが検知されるとその旨をメールやSMS、電話で通知し、改ざんされたファイルの修復と証拠保全、メンテナンス
ページ
への切り替えなどを行ってくれます。
さらに、この
ツール
では
WordPress
の改ざんを記事単位で検出することも可能です。
先にご紹介したように、
WordPress
の脆弱性をついた攻撃が横行してますので、
WordPress
でWebサイト構築をしている場合は特にオススメのツールです。
gred
利用料金:5,000円〜/月
無料トライアルあり
EC
サイトをはじめ、Webサイト全般における改ざんの有無を定期的にチェックし、Webサイトの安全を確保してくれるツールです。
この
ツール
では、一般的な閲覧と同様にWebサイトをチェックする機能があるため、サーバ側だけでは見つけることができない改ざんの検出も可能です。
改ざんが検知されると、アラートが送信され安全な画面に切り替えた上でレポートが提出されます。
WebAlert
http://www.securestar.jp/webalert/
利用料金:2,700円〜/月
30日間の無料トライアルあり
URL
を登録するだけでWebサイトの改ざんをチェックすることができるツールです。
改ざんが発見された場合は、メールでアラートが通知されます。
画面の切り替えや修復機能はないため通知が来たらWebサイト運営者側で対応が必要となりますが、今回ご紹介した ツール の中では最安値で導入することができます。
まとめ
Webサイトを運営するすべての人にとってWebサイトの改ざんを受ける可能性があり、過去の例を見ればその被害も大きなものです。
しかし、小規模な企業をはじめ、直接売上に貢献しないために後回しになっている企業も少なくないのが現状です。
例えこれまで被害を受けていないとしても、ある日突然、改ざんされるという可能性も否定できません。
今回ご紹介した改ざんをチェックする ツール を活用すれば、人的コストをかけずともリスクを軽減することができますので、今回ご紹介した ツール を含め、早急に監視システム等の導入を検討しましょう。
▼最適なWeb
ツール
・サービスが比較できる「Marketer’s STORE」▼
100以上の
ツール
・サービスの「製品資料・関連資料のダウンロード、導入事例の閲覧・相談・お問い合わせ・お見積り」がすべて無料でご利用可能。
https://mkst.ferret-plus.com/
このニュースを読んだあなたにオススメ
情報を漏洩しないための具体的対策
あなたのブログは大丈夫?WordPressのセキュリティと対策まとめ
ホームページ運営者は、SEOにおいてセキュリティ面の意識が必要不可欠
このニュースに関連するカリキュラム
