今月と来月で取り上げるテーマは「Webサイト改ざん」です。急増している企業のWebサイトを改ざんする攻撃の、最近の手口と目的、Webサイトの運用管理対策について説明します。

Webサイト改ざんは、大きく二つに分類されます。まず一つ目は、Webサイトのページ表示自体を書き換えするもの。つまり、見た目そのものが変わる改ざんです。ここでは「見た目の改ざん」と呼ぶことにします。このタイプの改ざんは、見た目そのものが変わっているため、被害に遭った際も容易に気づくことができます。この場合、攻撃者の目的としては自身の興味本位や自己顕示欲によるものが多くなっています。そのため、改ざんされたページには、攻撃者やその所属する組織の主などが書き込まれます。

二つ目は、Webサイトのページ表示自体の書き換えは行わず、不正な仕掛けをするもの、つまり見た目そのものは変わらない改ざんです。ここでは「仕組みの改ざん」と呼ぶことにします。改ざんされたWebサイトのページの見た目は変わりませんが、リンクやボタン（バナーとも呼ばれます）をクリックした際に、ウイルスのダウンロードや悪質サイトへの誘導が行われるような、目に見えない仕掛けを施しています。攻撃者はこれらの手段により、アクセスした者の端末を感染させ、情報窃取をしたり、攻撃のための足掛かり（踏み台）として乗っ取ったりすることを目的にしています。

最近のWebサイト改ざんは、この二つのうち「仕組みの改ざん」がほとんどといっていいでしょう。見た目が変わらないため、アクセスする側も、それが改ざんされたWebサイトであることや、不正を目的とした仕掛けであることを見破りにくくなっています。そのため、改ざんされたWebサイトにアクセスした人の被害も増えているのです。

また、Webサイトを運用管理する側も、見た目をチェックしているだけでは、改ざんがあったかどうかはわかりません。Webサイトの運用管理の記録や履歴（ログ）を取得して日常的にチェックしたり、Webサイトに対する検査を実施したりしなければなりません。そして、Webサイトを運用するために使っているアプリケーション（Apatch Struts、Microsoft IIS、Adobe ColdFusionなど）を、最新の状態にアップデートしておくことが重要になります。