Webサイトを改ざんから守る、その難しさ：全ての企業にリスクあり（1/2 ページ）

Webサイトを改ざんから守る、その難しさ

「Webサイト改ざん」事件が次々と報告されている。IPAによる注意喚起から、Webサイト改ざんへの対策と心構えができているか、再度チェックしよう。

　企業にとって、Webサイトは「顔」にも等しいものだ。ECサイトを運営している企業にとっては、Webサイトが止まることは企業活動の停止を意味する。もしそのWebサイトが改ざんの被害に遭ってしまった場合、直接的な被害だけではなく、利用者への賠償、検索ランクの低下、評判の低下など、想像をはるかに超える影響を及ぼすことになる。

　2014年6月に実施した「＠IT 標的型攻撃対策セミナー」の来場者アンケートにおいて、現在最も脅威に感じている事柄として、「Web改ざん」がトップに挙げられている。ここからもWeb改ざんが身近な事件になっていることが分かる。

＠IT 標的型攻撃対策セミナー来場者アンケート「いま、最も脅威に感じている事柄はなんですか？」（複数回答可）

　本記事では、「Web改ざん」をキーワードに、現状と対策を考えていこう。

「そこにWebサーバーがあるから」

　標的型攻撃を含め、狙われるの「有名な大企業だけ」と思うのは危険だ。大企業はすでにセキュリティ対策が進んでおり、正面から突破するよりも、取引先の中、小企業を狙う方が簡単であるためだ。ハクティビズムのようにターゲットが特定される攻撃はさておき、サイバー攻撃を行う犯罪者は脆弱性の残るApacheやTomcatなどを検索エンジンでリストアップし、片っ端から攻撃を仕掛けるというような行動を起こしているという。攻撃者はただそこにあるWebサイトへ「乱れ打ち」を行っているといえよう。

　もしその企業のWebサイトに人が集まっており、脆弱性も存在していたならば、攻撃者は静かにわなを仕掛けていく。過去に脆弱性検査を行い問題がないと判断されていても、ブラウザーのバージョンが変わることにより、新たな攻撃が可能となる場合もあるのだ。

Web改ざんの被害に遭わないために

　情報処理推進機構（IPA）が2014年8月13日に発表した「ウェブサイトの改ざん回避のために早急な対策を」を紹介しよう。2013年9月に多数の改ざんが報告されたことを背景に、今年も同時期に改ざんが行われないよう、注意喚起する文書だ。

Webサイト改ざん件数の推移（IPA 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」より）

　IPAとJPCERT/CCによる発表では、2014年も依然として月400件程度の改ざん報告が上がっている。IPAではこの数字を「実際改ざんされてしまっているウェブサイトの氷山の一角」としている。

　この文書では、Web改ざんが起こる代表的な手口として下記の3点が挙げられている。

• サーバーソフトウェアに残存する脆弱性を狙ったWebサイト改ざん
• Webサイトの管理端末への侵入によるWebサイト改ざん
• SQLインジェクションの脆弱性を悪用したWebサイト改ざん

　改ざんを引き起こすマルウェアの侵入経路はさまざまだ。この対策のためには、サーバの各コンポーネントや管理端末をできる限り速やかに最新にする必要がある。SQLインジェクションをはじめとするWebアプリケーションの脆弱性は、IPAが提供する「安全なウェブサイトの作り方」を基に、よりセキュアなコーディングを目指すことが必要だろう。