ESET/マルウェア情報局
ウェブサイトの改ざんの手口を解説
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Web改ざんはどのように行われるのか? その手口と対策」を再編集したものです。
ウェブサイトの改ざんとは
ウェブサイトの改ざんとは、悪意のある第三者により、管理者の意図しない変更が勝手になされてしまうこと。ウェブサイトが抱える脆弱性や、FTPに接続する管理者のパソコンがマルウェアに感染することで引き起こされることが多い。ウェブサイトが改ざんされることで、所有者の意図に反する不適切な情報発信や、ウェブサイトの訪問者をマルウェアに感染させてしまうなどのトラブルに発展する恐れがある。
一般社団法人JPCERTコーディネーションセンターが2020年10月に公表した資料によると、ウェブサイト改ざんのインシデント報告件数は同年の7月から9月までの四半期で374件となり、前四半期の291件から1.3倍に増加している。なかでもウェブサイトに埋め込まれた不正なコードにより、詐欺サイトへ強制的に転送されるという事例が、数多く確認されている。
ウェブサイト改ざんの具体的な手口
ウェブサイト改ざんの手口は大きく分けて2つに分類される。それぞれ解説する。
1)ウェブサイト等の脆弱性を突いた改ざん
ひとつ目はウェブサイトやサーバーOSの脆弱性を突き、不正に改ざんする方法だ。IPA(独立行政法人情報処理推進機構)の調査によると、ウェブサイトの脆弱性で最も多く報告されているのはクロスサイト・スクリプティング(XSS)と呼ばれるものだ。他にもウェブサイトで使用しているCMS(コンテンツマネジメントシステム)などの脆弱性を突いた攻撃も、過去には大きな問題として報道されている。代表的な脆弱性としては下記が挙げられる。
・SQLインジェクション
SQLはリレーショナルデータベースを操作するための言語である。ウェブサイトのフォーム内に不正にSQL文を入力することで、システムの誤動作を引き起こし、データの窃取や改ざんを行なう。
・クロスサイト・スクリプティング(XSS)
不正なJavaScriptやHTMLなどを含んだリンクURLをクリックさせることで、ユーザーのウェブブラウザーに偽ページなどを表示させる手法。
・クロスサイト・リクエストフォージェリ(CSRF)
ユーザーとウェブサーバー間でのセッション管理の脆弱性を突いた攻撃。悪意のあるURLをユーザーにクリックさせることで、第三者がユーザーになりすまし不正な操作を行なう。
クロスサイト・スクリプティング(XSS)とクロスサイト・リクエスト・フォージェリ(CSRF)の違い
https://eset-info.canon-its.jp/malware_info/special/detail/200602.html
・サーバーOSやCMSなどの脆弱性(ゼロデイ攻撃)
サーバーOSやCMSなどのアプリケーションに脆弱性が発見された場合、通常はベンダーから更新プログラムが提供される。しかし、ベンダーが更新プログラムを準備するまでの期間は無防備となってしまう。この脆弱な状況を狙った攻撃をゼロデイ攻撃という。
高まるゼロデイ攻撃のリスクにどう対処すべきか
https://eset-info.canon-its.jp/malware_info/special/detail/200107.html
2)管理者アカウントの乗っ取りによる改ざん
ウェブサイトの管理者のパソコンが、マルウェアに感染するなどしてアカウント情報を窃取されるケースも少なくない。サーバーへのリモート接続が可能なアカウント情報を攻撃者に窃取されると、管理者のパソコン経由でFTPなどの通信を介し、正規の方法でウェブサイトが改ざんされてしまう。この場合、改ざんのプロセスは管理者のパソコンによる正規の処理と同様のプロセスとなるため、発覚が遅くなる傾向にある。代表的な攻撃手法は下記の2つが挙げられる。
・標的型攻撃
標的型攻撃は特定の企業や組織を狙ったサイバー攻撃である。メールなどを起点にすることが多い。事前に攻撃対象を調べ上げ、メールの送信元や件名を巧みに偽装する。メールにファイルを添付したり、不正なURLを記載し偽サイトに誘導したりすることで、マルウェア感染や情報窃取を行なおうとする。
・ソーシャル・エンジニアリング
人間の心理的な隙を突く攻撃手法。標的のユーザーに関連するさまざま情報を収集し、自然なやり取りで相手を信頼させてアカウントの奪取を企む。犯行はSNSやメールなどを用いて行なわれ、上記の標的型攻撃と併用されるケースが多い。
ウェブサイト改ざんによる被害事例
ウェブサイトの改ざんは、今もなおさまざまな場所で起こっている。実際に起きた事例をいくつか紹介する。
・大手交通機関
2009年12月、大手交通機関のウェブサイトのトップページやその他一部のページが悪意ある第三者の手によって改ざんされた。すぐに対策がなされたが、一部のウェブページではおよそ2週間にわたり改ざんされた状態が続いていた。この時に使用されたのが「Gumblar(ガンブラー)」という攻撃手法で、ウェブページを閲覧すると別のウェブページへ転送され、マルウェア感染を引き起こすリスクがあったとされている。2009年から2010年にかけて、この「Gumblar」によるウェブ改ざんの被害が数多く報告されている。
・大手自動車メーカー
2014年8月、大手自動車メーカーのウェブサイトの一部が改ざんされ、閲覧したユーザーが外部サイトへ誘導されるように変更されていた。被害を受けたのは同社の「下取り参考価格シミュレーション」サイトである。ウェブサイトへアクセスすると外部サイトへリダイレクト(転送)され、マルウェアがダウンロードされる危険性があった。
・地方私鉄
2020年8月、某私鉄のウェブサイトにある新型コロナウイルス感染症の注意喚起ページが改ざんされるという事件が発覚した。ウェブサイトの管理画面へ不正アクセスを受けた可能性があり、同ページとは全く無関係なカジノサイトが表示されていた。同社の報告によると、およそ2週間にわたり改ざんされた状態が続いていたと推測されている。
ウイルスはどこから来るのか?急増するWeb改ざん事件
https://eset-info.canon-its.jp/malware_info/trend/detail/140626.html
ウェブサイト改ざんへの対策
ウェブサイトが改ざんされることで、企業は消費者をはじめとするステークホルダーからの信頼を失い、事業に大きな痛手を被ることになりかねない。改ざんを未然に防ぐための方法として、以下の10項目を解説する。
1)ウェブ開発時の基本的な対策の徹底
ウェブサイトの改ざんは、開発時に積み残した脆弱性によって引き起こされる場合も少なくない。SQLインジェクションなどの脆弱性の芽を、初期の段階から摘み取ることが重要だ。IPAでは開発にあたり、下記を推奨している。
・セキュアプログラミング
セキュアプログラミング(セキュア開発)とは、要件定義から実装の各プロセスにおいて、脆弱性を作らないよう配慮した開発方法。上流工程から脆弱性に配慮することで、よりセキュリティを高めることができる。
・ソースコード診断
ソースコード診断はプログラムを解析し、セキュリティ的に問題がないかなどをチェックする仕組みを指す。これを行なうことで、リリース前に脆弱性を洗い出せる可能性が高まる。
・脆弱性診断
脆弱性診断ではプログラムだけでなくネットワークやOSなど、さまざまな項目の脆弱性を網羅的に検査することができる。開発者が意図しなかった脆弱性が発見されることも少なくない。
2)セキュリティソフトの導入
事例でも解説したとおり、ウェブサイトの管理者や運用担当者のパソコンがマルウェアに感染することで、改ざんの起点となることも少なくない。アカウント情報の窃取による改ざんは、正規のプロセスであるため発覚が遅れやすいという特性もある。セキュリティソフトで端末を保護することで、リスクを低減することができる。
3)サーバーOSやミドルウェアなどのアップデート
ウェブサーバーのOSやミドルウェアなどは、常に最新の状態に保つ必要がある。複数のウェブサイトを運用している場合に、同じウェブサーバーOSやミドルウェアを利用していることも少なくない。一カ所で脆弱性が発見され、攻撃者に突破されてしまうと、管理している他のウェブサイトへも被害が連鎖しかねない。
4)CMSなどのアップデート
ウェブサイトのメンテナンス用に導入しているWordPressをはじめとしたCMSも、常に最新の状態にアップデートしておくことが推奨されている。CMSには拡張機能となるプラグインも数多く提供されているが、これらのアップデートも必須となる。2018年にはWordPressのプラグインの脆弱性を突いたウェブ改ざんの被害が多発している。
5)WAFの導入
WAF(Web Application Firewall)を導入することで、第三者の不正な攻撃を検知、遮断できる。WAFはSQLインジェクションなどウェブアプリケーションの脆弱性を突いた攻撃を検知するだけでなく遮断も可能なため、万が一ウェブサイトに脆弱性が見つかった場合でも、改修までの期間を確保することができる。
Webアプリケーションファイアーウォール(WAF)SiteGuard
https://cweb.canon.jp/it-sec/solution/siteguard/
6)IPアドレス制限やデバイス制限
ウェブサイトの管理ページへアクセスできるIPアドレスやデバイスを制限しておくのも有効だ。IPアドレスなどを制限することで、不審な端末からのアクセスをシャットダウンできる。
ウェブサイト管理システムの運用において、パスワードポリシーを定めるなど、パスワード管理の徹底は基本的ながら必須の対策だ。パスワードを簡単なものに設定、あるいは使い回しをしているケースは少なくない。可能であれば、二段階認証やワンタイムパスワードなどの導入も検討したい。
8)SSL、VPNによる通信の暗号化
ウェブサイトへファイルをアップロードする際はSSL通信で暗号化して行なうようにしたい。SSH(Secure Shell)を用いて暗号化する通信プロトコルとして、SFTP(SSH File Transfer Protocol)やSCP(Secure Copy Protocol)などがある。
また、外部から管理システムにアクセスする必要がある場合は、VPN(Virtual Private Network)で通信を暗号化しておくこと。通信時における情報の盗み見や改ざんを防ぐことができる。
9)ログの取得、監視
ウェブサーバーやネットワークのログを監視することで、不正なアクセスや攻撃などの兆候を検知することができる。また、改ざんが発生した場合、ログが適切に取得されていれば、原因追及も迅速かつ正確に行なうことが可能となる。
10)ペネトレーションテストの定期的な実施
ペネトレーションテストはシステムに対し擬似的な攻撃を仕掛けることで、システム全体のセキュリティや運用プロセスにおける脆弱性を可視化する方法だ。脆弱性診断だけでは発見できないリスクをあぶり出すこともできる。
脆弱性診断/ペネトレーションテスト
https://cweb.canon.jp/it-sec/solution/vulnerability-penetration/
ホワイトハッカーに聞く、”限りなくリアル”なペネトレーションテストとその重要性とは?【後編】
https://eset-info.canon-its.jp/malware_info/trend/detail/200923.html
事業を危険に晒さないために
2009年から2010年にかけて「Gumblar」によるウェブ改ざんの被害が相次いだ。その後、およそ10年経った今でも、ウェブサイト改ざんの被害はあとを絶たない。インターネットやスマホの急速な普及に伴い、企業にとってもはやウェブサイトはビジネス活動になくてはならないものになっている。そしてその状況を逆手にとり、攻撃者はウェブサイトに対する攻撃をさらに加速させている。
ウェブサイトの改ざんは、サービスの停止や被害にあった顧客への対応、ブランドの毀損など、企業の事業活動の継続に大きな支障をもたらしかねない。今や被害に遭うことは避けられない前提で考え、対策を講じておくことが求められる時代になってきている。
IPAによる「ウェブサイト改ざんの脅威と対策」の中で、その重要性を説いている「ウェブサイトの開発から運用までのシステムライフサイクルにおける、各工程でのセキュリティ対策」という考えのもと、ウェブサイト改ざんを防ぐ対策を推進してほしい。