Webサイトを改ざんから守る、その難しさ全ての企業にリスクあり(1/2 ページ)

「Webサイト改ざん」事件が次々と報告されている。IPAによる注意喚起から、Webサイト改ざんへの対策と心構えができているか、再度チェックしよう。

» 2014年09月01日 09時30分 公開
[宮田健,@IT]

Webサイトを改ざんから守る、その難しさ

「Webサイト改ざん」事件が次々と報告されている。IPAによる注意喚起から、Webサイト改ざんへの対策と心構えができているか、再度チェックしよう。

 企業にとって、Webサイトは「顔」にも等しいものだ。ECサイトを運営している企業にとっては、Webサイトが止まることは企業活動の停止を意味する。もしそのWebサイトが改ざんの被害に遭ってしまった場合、直接的な被害だけではなく、利用者への賠償、検索ランクの低下、評判の低下など、想像をはるかに超える影響を及ぼすことになる。

 2014年6月に実施した「@IT 標的型攻撃対策セミナー」の来場者アンケートにおいて、現在最も脅威に感じている事柄として、「Web改ざん」がトップに挙げられている。ここからもWeb改ざんが身近な事件になっていることが分かる。

@IT 標的型攻撃対策セミナー来場者アンケート「いま、最も脅威に感じている事柄はなんですか?」(複数回答可)

 本記事では、「Web改ざん」をキーワードに、現状と対策を考えていこう。

「そこにWebサーバーがあるから」

 標的型攻撃を含め、狙われるの「有名な大企業だけ」と思うのは危険だ。大企業はすでにセキュリティ対策が進んでおり、正面から突破するよりも、取引先の中、小企業を狙う方が簡単であるためだ。ハクティビズムのようにターゲットが特定される攻撃はさておき、サイバー攻撃を行う犯罪者は脆弱性の残るApacheやTomcatなどを検索エンジンでリストアップし、片っ端から攻撃を仕掛けるというような行動を起こしているという。攻撃者はただそこにあるWebサイトへ「乱れ打ち」を行っているといえよう。

 もしその企業のWebサイトに人が集まっており、脆弱性も存在していたならば、攻撃者は静かにわなを仕掛けていく。過去に脆弱性検査を行い問題がないと判断されていても、ブラウザーのバージョンが変わることにより、新たな攻撃が可能となる場合もあるのだ。

【関連記事】

いわゆる「水飲み場攻撃」に管理者はどう対応すべきか(@IT)

http://www.atmarkit.co.jp/ait/articles/1310/10/news145.html

「HTML5時代の『新しいセキュリティ・エチケット』」最新記事一覧(@IT)

http://www.itmedia.co.jp/keywords/html5_sec.html


Web改ざんの被害に遭わないために

 情報処理推進機構(IPA)が2014年8月13日に発表した「ウェブサイトの改ざん回避のために早急な対策を」を紹介しよう。2013年9月に多数の改ざんが報告されたことを背景に、今年も同時期に改ざんが行われないよう、注意喚起する文書だ。

Webサイト改ざん件数の推移(IPA 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」より)

【関連リンク】

IPA 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」(2014年8月13日)

https://www.ipa.go.jp/about/press/20140813.html


 IPAとJPCERT/CCによる発表では、2014年も依然として月400件程度の改ざん報告が上がっている。IPAではこの数字を「実際改ざんされてしまっているウェブサイトの氷山の一角」としている。

 この文書では、Web改ざんが起こる代表的な手口として下記の3点が挙げられている。

  • サーバーソフトウェアに残存する脆弱性を狙ったWebサイト改ざん
  • Webサイトの管理端末への侵入によるWebサイト改ざん
  • SQLインジェクションの脆弱性を悪用したWebサイト改ざん

 改ざんを引き起こすマルウェアの侵入経路はさまざまだ。この対策のためには、サーバの各コンポーネントや管理端末をできる限り速やかに最新にする必要がある。SQLインジェクションをはじめとするWebアプリケーションの脆弱性は、IPAが提供する「安全なウェブサイトの作り方」を基に、よりセキュアなコーディングを目指すことが必要だろう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。