Webサイトの改ざんの目的と防止策

Webサイト改ざん事件

セキュリティ組織のJPCERTコーディネーションセンター（JPCERT/CC）によれば、 2013年7月～12月までに報告されたWebサイト改ざん事件は4,378件、2014年1月～6月の期間で報告を受けた件数は2,624件と、 全体的には減る傾向にあります。これは、Webサイト改ざんに関する企業側の警戒意識や対策が発展してきたことによるものでしょう。

しかし、依然として月平均400件程度、改ざんの報告が寄せられています。 JPCERT/CCに報告された事件だけの数ですから、実際にはこれをはるかに超える数の改ざん事件が起こっていると推測されます。

改ざんの目的

Wedサイトの改ざんは、Webサイトをウイルスの配布元とすることを目的としています。 攻撃者は、Webページの中にウイルスをダウンロードさせるようなプログラムを仕込みます。 この改ざんはWebページ上には表示されないので、ユーザーは表面的には改ざんに気がつきません。

しかし、改ざんされたサイトにアクセスすると、脆弱性（セキュリティ上の欠陥）のあるソフトをインストールしているPCは、 ウイルスに感染する危険性があります。ウイルスをなぜ、配布するのかというと儲かるからです。 攻撃者はユーザーのパソコンをウイルスに感染させて、金銭価値の高い情報を盗んだり、 ネット詐欺などの踏み台に使ったりします。企業のWebサイトが次々と改ざんの被害に遭うのは、 多くの人がアクセスするためです。

改ざんの代表的手口

古いバージョン、あるいはサポートが終了したバージョンのサーバソフトウェアを企業側がそのままにしておくと、 その脆弱性を悪用して改ざんされる恐れがあります。また、Webサイトを管理する端末のOSやアプリケーションに脆弱性がある場合、 認証情報が盗まれ、管理者権限を悪用され改ざんされることがあります。

さらに、Webサイトを構築するWebプリケーションに、SQLインジェクションの脆弱性が存在する場合、 データベースシステムを不正に操作し、Webサイトを改ざんすることが可能です。 管理者としては、脆弱性の解消やパスワードの適切な管理が求められます。

改ざんの対策

改ざんを100％防ぐのは困難です。改ざん防止策のほかに、いざ改ざんが発覚したときにどう対処するかも検討しておくことが重要です。 改ざんを放置すると、企業は確実に信用を失ってしまいます。素早く対応するためには、改ざんに備え、 Webサイトを止めるかどうかという経営判断も含めて、あらかじめ対応を決めておく必要があるでしょう。 また、担当ではない従業員が改ざんを知った場合、誰に報告するか、社内で周知徹底しておくことも大切です。