日商 Assist Biz

更新

企業を襲うサイバー脅威 Webサイト改ざん①

「Webサイト改ざん」の2つの分類

今月と来月で取り上げるテーマは「Webサイト改ざん」です。急増している企業のWebサイトを改ざんする攻撃の、最近の手口と目的、Webサイトの運用管理対策について説明します。

Webサイト改ざんは、大きく二つに分類されます。まず一つ目は、Webサイトのページ表示自体を書き換えするもの。つまり、見た目そのものが変わる改ざんです。ここでは「見た目の改ざん」と呼ぶことにします。このタイプの改ざんは、見た目そのものが変わっているため、被害に遭った際も容易に気づくことができます。この場合、攻撃者の目的としては自身の興味本位や自己顕示欲によるものが多くなっています。そのため、改ざんされたページには、攻撃者やその所属する組織の主などが書き込まれます。

二つ目は、Webサイトのページ表示自体の書き換えは行わず、不正な仕掛けをするもの、つまり見た目そのものは変わらない改ざんです。ここでは「仕組みの改ざん」と呼ぶことにします。改ざんされたWebサイトのページの見た目は変わりませんが、リンクやボタン(バナーとも呼ばれます)をクリックした際に、ウイルスのダウンロードや悪質サイトへの誘導が行われるような、目に見えない仕掛けを施しています。攻撃者はこれらの手段により、アクセスした者の端末を感染させ、情報窃取をしたり、攻撃のための足掛かり(踏み台)として乗っ取ったりすることを目的にしています。

最近のWebサイト改ざんは、この二つのうち「仕組みの改ざん」がほとんどといっていいでしょう。見た目が変わらないため、アクセスする側も、それが改ざんされたWebサイトであることや、不正を目的とした仕掛けであることを見破りにくくなっています。そのため、改ざんされたWebサイトにアクセスした人の被害も増えているのです。

また、Webサイトを運用管理する側も、見た目をチェックしているだけでは、改ざんがあったかどうかはわかりません。Webサイトの運用管理の記録や履歴(ログ)を取得して日常的にチェックしたり、Webサイトに対する検査を実施したりしなければなりません。そして、Webサイトを運用するために使っているアプリケーション(Apatch Struts、Microsoft IIS、Adobe ColdFusionなど)を、最新の状態にアップデートしておくことが重要になります。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

昨年からCMSで構築されたWebサイトを狙った攻撃が相次いでいます。「CMS(Content Management System)」とは、インターネット上もしくはイントラネット上のWebサイトのコンテ…

前の記事

長谷川長一

1月号で説明した通り、最近の標的型攻撃のほとんどは、「金銭の獲得」と「諜報活動」が目的と考えられています。つまり、盗んだ情報がお金に換えられたり、産業スパイ活動で悪…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…