目に見えない「Webサイト改ざん」に気付く方法:セキュリティのアレ(30)
セキュリティ専門家が時事ネタを語る本連載。第30回のテーマは「Webサイト改ざん」です。改ざんの“4パターン”から有効な対策、対処方法まで、解説します。
アンケートご協力のお願い
「サイバーセキュリティ経営ガイドライン」活用実態に関するアンケートにご協力ください。6問程度の簡単なアンケートです。最後までお答えいただいた方の中から抽選で5人の方に、Amazonギフト券3000円分をプレゼントいたします(記事下部にもアンケートページへのリンクあり)。
アンケートへの回答は締め切りました(2016年8月29日)。
Webサイト改ざん、カギは「気付けるかどうか」
セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第30回では、「Webサイト改ざん」を取り上げます。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏です。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。
宮田 今回のテーマは「Webサイト改ざん」です。幾つかパターンがあるようですが、どのようなものがあるのでしょうか?
根岸氏 一番イメージしやすいのは、「画面が真っ黒になり、“ドクロのイラスト”などとともにメッセージが表示される」といった例でしょうね。何らかの主義主張を持つ「ハクティビスト(Hacktivist)」たちが、自分たちの主張を伝えるためにターゲットのWebサイトを改ざんするようなケースです。あるいは、単なる「自己顕示目的」の場合もあります。
辻氏 もう1つは「目に見えないフレームを埋め込み、その中で悪意のあるサイトにリダイレクトさせる」といった形で、Webサイトを「マルウェアを配布するためのサイトに書き換える」というケースです。こちらは最初の例と違い、アクセスした人に気付かせることが目的ではないので、とても厄介です。
根岸氏 見た目には普通のニュースサイトなどを閲覧しているように見えるが、実は裏でマルウェアに感染させられてしまっているというケースですね。
辻氏 はい。そして3つ目のケースは「入力フォームの改ざん」です。例えば、「クレジットカード情報を入力するフォームを改ざんし、入力されたデータが攻撃者のところにも送信されるようにする」といった例があります。いわばWebサイト上のフォームに対する“スキミング”のようなものです。これも見た目には分かりません。
それから4つ目は「Webサイトにそれまでなかったファイルを追加する」パターンです。“改ざん”という言葉のイメージとは結び付きにくいかもしれませんが、これも改ざんの1種と考えてよいでしょう。例えば、前回解説した「C2(C&C)サーバ」の機能をWebサイトに追加したり、既存のWebサイトの下層にフィッシングサイトを勝手に追加したりするといったケースがあります。
Webサイト改ざんの4つのパターンを整理した上で、動画本編では改ざんと勘違いされがちなパターンや有効な対策、改ざんに気付いたときの望ましい対処などについて解説していきます。ぜひ、ご覧ください。
Webサイトを改ざんから守る、その難しさ
古くて新しい脅威、Web改ざん
C2(C&C)とはCopyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。