Webサイトの改ざん!原因究明・対処方法を実例で解説

security_2209

Webサイトが改ざんされると、そのサイトを見た他の人にも被害を及ぼす恐れがあります。

Webサイト改ざんの件数は、ピークだった2013年後半よりは少なくなっていますが、それでも1ヶ月に約400件の報告があります。(JPCERT/CC調べ)

ひと昔前は、いたずら目的でサイトを変えたりする改ざん行為が多くありました。しかし現在は、金銭目的の改ざん被害が増えています。

セキュリティの甘いサイトは無差別に攻撃されます。大手よりも中小企業の対策のほうが不十分なため、狙われやすいです。「セキュリティソフトを入れていても改ざんされる理由」と、改ざんを防ぐための対策方法について解説します。

1. セキュリティソフトを入れていたのに改ざんされた例

あるIT企業で起きた改ざん事件の経緯を紹介します。

改ざんに気づいたきっかけ

自社サイトにアクセスすると、おかしなメッセージが表示されていた

改ざん発覚

サイトのソースを開くと、見覚えないソースが記述されており、改ざんされていた。またファイルの最終更新日が、覚えのない最新の日付になっているファイルが大量に存在していた。

そこで、使っていたセキュリティソフトでウイルススキャンするも「異常なし」。しかしウイルスに感染している可能性が疑われ、サーバーにログインすると、大量のファイル改ざんが発覚。

復旧~サイト再開

数日かけて復旧作業をおこない、サイトを再開。感染したパソコンをリカバリーし、全データを初期化した。


このように、セキュリティソフトがウイルスを検知できず改ざんされ、企業に大きな被害を与えてしまう事件が実際に起きています。

2. 改ざんの原因は?

  • 海外のサイトを閲覧したときに、パソコンがウイルスに感染した
  • ウイルスによりFTPパスワードが盗まれ、サーバーにログインされて、ファイルが改ざんされてしまった
  • セキュリティソフトがこのウイルスを検出・駆除しなかったため、感染が起きてしまった

感染したとき、もしセキュリティソフトがウイルスを検知していれば…駆除ができ、大きな被害にはならなかったかもしれません。

FTPとは?
File Transfer Protocol(ファイル・トランスファ・プロトコル)の略で、インターネット上でコンピュータ同士がファイル転送をするときに使われる通信上の決まりのこと。FTPにログインすることで、ファイルアップロードなどの操作ができます。

2-1. 改ざんの主な原因・手口

サイトのソフトウェアやアプリケーションの脆弱性が攻撃され、改ざんされる

サイトのソフトやファイルに脆弱性があると、SQLインジェクションや自動攻撃ツールのランダム攻撃を受けたとき、侵入されてしまいます。Webブラウザの脆弱性を突かれることもあります。

2017年2月にはオープンソースCMS「WordPress」の脆弱性に関する注意喚起をIPAが発表し、この脆弱性を悪用した改ざん被害も複数確認されています。

WordPress の脆弱性対策について IPA
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

パスワードを破られ不正ログインされる

ウイルス感染やリスト攻撃などでサイト管理のID/パスワードを破られると、不正ログインやリモート操作されるなどの手口で改ざんされてしまいます。簡単なID・パスワードは特に危険です。内部犯行のケースもあります。

この場合「正常なログイン」として侵入されるので、不正操作に気づきにくいです。サイト制作会社が乗っ取られ、担当するすべてのサイトが改ざんされる事件も起きています。WordPressなどCMSのログイン情報は、厳重に管理してください。

2-2. ウイルス感染する原因は?

標的型攻撃メールから感染

取引先や社内メールをよそおったウイルス入り添付ファイルを開いてしまい、感染します。

他の改ざんサイトから感染

改ざんされたサイトにアクセスし管理者のパソコンがウイルスに感染、管理サイトも改ざんされてしまいます。特定のIPアドレス(特定企業や省庁)からのアクセス者のみに感染させる手口もあります。

内部犯行による改ざん

組織管理用ポートへの攻撃など、社員などの権限を悪用し改ざんする手口です。

3. 上記ケースでおこなった対処・復旧の方法

3-1. サイトへのアクセスを遮断

お客様がサイトにアクセスできないよう、index.htmlファイルを修正。サイトに「メンテナンス中」と表示。しかしindex.html ファイルを修正してもすべてのアクセスは防げないため、サイトへのアクセスを完全に遮断した。

※作業は、感染していない別のパソコンからおこないます。感染の疑いのあるパソコンはネットワークから切断し、OSを再インストールします。
※場合により状況説明や問合せ用として、別サイトを用意する必要もあります。

3-2. 「ウイルスバスター」を使い復旧

ウイルス感染したサーバー上のファイルを、ウイルスバスターのセキュリティソフトを入れたパソコンにダウンロード。

すると、ウイルスが入れたソースを、ウイルスバスターが自動で除去してくれます。(除去できないソースは、手作業で除去)

3-3. パスワードを変更する

サーバー、WordPressなどのCMS、FTPのパスワードを複雑なものに変更し、再度の乗っ取りを防ぎます。

3-4. サイトのアクセス制限を解除

すべてのサーバーで復旧作業が完了、万が一のためすべてのサーバーのファイルをバックアップし、FTPサーバーのパスワードをもう一度変更。サイトを再開。

※再開するときは、改ざんがあったことをサイトに掲載してください。(改ざんカ所、期間、想定される被害、ウイルスチェック方法、問合せ窓口など)

4. Webサイト改ざんの発生状況

2016年1月1日~2016年3月31日までのセキュリティ事故につながりかねない報告(インシデント)では、「Webサイト改ざん」が2番目に多く、かなりの割合を占めています。

4-1. 悪質化する近年のサイト改ざん

ひと昔前の改ざんは、単なるいたずら目的がほとんどでした。しかし今は企業を狙った金銭目的の改ざんが増え、顧客や第三者まで被害を受けています。倒産するほどの被害になることも。

さらに改ざんされてもサイトの見た目に変化がないため気づきにくく、どんどん悪質になっています。

4-2. サイト改ざんが容易に…改ざんツールの流通

いま、正規Webサイトが改ざんされる危険が高まっています。それは脆弱性のある正規サイトが山のようにたくさんあることに加え、このようなツールが出回っているため、攻撃しやすくなっているからです。

  • サイトを簡単に改ざんできるツールが、闇市場で流通している点
  • 「脆弱性があり、改ざんできそうなWebサイト」のリストが誰でも見られる
このようなツールがあるので、わざわざ不正サイトを作るよりも、すでにある正規サイトを改ざんしてウイルスをばらまくなどしたほうが簡単なのです。実際に、不正サイトを作るための「悪意あるWebドメイン数」は減少傾向にあります。

そして、マルウェア配布に利用されているサイトの67%は、改ざんされた正規サイトである、というデータもあります。(シマンテック「インターネットセキュリティ脅威レポート第19号」より)

4-3. サイト改ざんの被害事例

大阪硝子工業会

不正アクセスにより2016年~17年にかけ1年以上サイトが改ざん状態となり、閲覧でマルウェア感染のおそれがありました。
対処としてサーバーを変更し再アップロード、セキュリティ対策を追加しています。

サカナクション公式サイト 2017年

ロックバンドサカナクションが所属の音楽プロダクション株式会社ヒップランドミュージックコーポレーションのサーバーが攻撃されたことで、公式サイトが乗っ取られトップページに関係ない内容を表示するよう改ざんされていました。

成田国際空港公式サイト 2015年

CMSに不正アクセスされ一部コンテンツが改ざん、アクセスするとウイルス感染の可能性がある外部サイトへ転送されるようになっていました。

5. サイト改ざんによる危険な被害

改ざんされたサイトにアクセスした人が、ウイルスに感染する恐れ

改ざんされたサイト側が、加害者になってしまう危険があります。

2014年に起きたネットバンキング不正送金事件では、様々な企業のサイトが改ざんされ、被害者がそのサイトを見たことでウイルス感染し、ネットバンキングのID・パスワードが盗まれ、不正送金の原因になっていました。

サイトの脆弱性を放置すると、犯罪者に加担することになってしまいます。

サイトに不正ファイルを埋め込まれるとどうなる?

  • 改ざんサイトへアクセスしたパソコンに、誘導コードが埋め込まれたファイルがダウンロードされる
  • 知らないうちに不正サイトへ誘導される
  • ウイルス感染させられる
  • 偽のログイン画面からID/パスワードを盗まれる
などの被害を与えてしまいます。(ドライブバイダウンロード攻撃)
怖いのはアクセス者が被害を受けたことに気づかず、被害がどんどん拡大してしまうことです。

サイトの閉鎖、売上・信頼ダウン

ウイルスを除去するにはファイルを削除するしかない…となると最悪の場合、サイト自体を削除しなければならない場合があります。また復旧作業中はサイトを閉鎖するため、売上がなくなります。

サイトを再開できたとしても、閉鎖していた期間や評判ダウンによる顧客離れ、SEO上のダメージ(検索エンジンにスパム登録され、上位表示されなくなるなど)によるアクセス数減少などの問題があります。

「セキュリティを怠った企業」として、ユーザーから管理責任を問われることもあります。社会的信頼も落ちてしまいます。

6. サイト改ざん よくあるカン違い

サイト改ざんやウイルス感染について、次のように思い込んでいる方は多いです。しかし実際は、攻撃者たちが巧妙にサイトのスキマを狙っています。

セキュリティソフトでは55%ものウイルスを防げない

セキュリティソフトのスキャンで「異常なし」と出ても、油断できません!新型ウイルスや攻撃方法は、セキュリティソフトで検知できないことがあります。

有名セキュリティソフトメーカーの「ノートン」も、“55%のウイルスは検出できない”と発表しています。企業では、法人向けの強固なセキュリティ対策をする必要があります。

あなたのウェブサイトやセキュリティに抜け穴はないか?プロの技術者がおこなうセキュリティ診断で、しっかりチェックすることも必要です。

重要情報がなくても狙われる

機密情報のないサイトも攻撃に狙われます。その理由は、改ざんの目的が「アクセスした人へのウイルス感染」である場合、重要情報の有無は関係ないためです。

通販やネットバンキングなど、個人情報の多いサイトだけが狙われるわけではありません。ネット上では、ハッカーの「自動攻撃ツール」が24時間巡回しています。“企業紹介だけのサイト”こそ、対策が薄いとされて攻撃される可能性があります。

脆弱性があれば、どんなサイトでも狙われる恐れがあります。そのため、サイトの脆弱性を放置するのは危険です。改ざん対策は、すべてのサイトに必要です。

7. 改ざんを防ぐ!対策方法

管理者に気づかれないように改ざんされるケースがほとんどなので、ふだんから対策する必要があります。

ウイルス対策ソフトを導入、更新する

やはりウイルス対策ソフトの使用は、最低限の対策として必須です。常に最新状態に更新しておきます。

ソフトウェアを最新に更新する

古いバージョンのソフトやアプリは、ウイルス感染する脆弱性のある場合があります。

WordPress、Movable Type、XOOPSのテーマ・プラグインは最新に更新してください。使わないテーマ・プラグインは削除しましょう。Windows、Office、ブラウザー、Flash Player、Adobe Reader(PDFの表示)、Javaは自動更新にしておきます。

また、個人が提供しているテーマ・プラグインにはウイルスが紛れ込んでいることもあります。信用できないものはインストールNGです。

複雑なパスワードを設定、FTPソフトにパスワードを記憶させない

パスワードは最低8文字以上、アルファベット・数字を組み合わせた推測されにくい文字列を設定してください。IDについても「admin」など初期設定のままではなく、推測されにくいものを設定します。

またパスワードは記憶させないほうが安全です。

パーミッションを正しく設定する

ファイル・ディレクトリへのアクセス権であるパーミッションの推奨設定について、以下のサイトで解説されています。

ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせ
https://lolipop.jp/security/#p-waf

アカウントを共有しない

FTPや管理アカウントを複数人で共有していると、万一のときに原因究明が難しくなります。

サーバーにも脆弱性対策をする

法人向けセキュリティソフトや、セキュリティ会社による対策が必要です。

すべてのファイルをバックアップする

全ファイルをバックアップしていれば、バックアップをサーバーにアップロードするだけで復旧は完了します。

サーバーのファイルを整理しておく

万が一改ざんされた場合、サイトに関係ないファイルがあったり整理されていないと、復旧作業に時間がかかってしまいます。

サーバーへのアップロードは「FTPS」接続を使う

ファイルアップロードはFTPではなく、暗号化プロトコルであるFTPSを使ってください。

「.ftpaccess」でFTP接続元を制限する

複数IPからのFTPサーバー接続を制限し、改ざんを防止してください。設定は利用サーバーの設定方法を見てください。

WAFを導入する

WAF(Web Application Firewall)とは
Webアプリケーションの脆弱性を突く攻撃に特化した防御システムです。一般的なファイアウォールでは防げない攻撃(SQLインジェクション、クロスサイトスクリプティング、パラメータ改ざんなど)を検知し、不正アクセスを遮断します。

改ざん検知サービスを利用する

改ざんは早期に気づき、対処するスピーディさが重要です。改ざん検知サービスでは、契約内容により1日数回など定期的なチェックが受けられます。

Webサイトセキュリティ診断を受ける

どれだけ対策しても、100%サイトを守ることは難しいです。自社の脆弱性を専門業者に定期的にチェックしてもらい、少しでもセキュリティの穴を減らすことが必要です。診断を受けることで、サイトの状態を常に把握できます。

セキュリティ診断とは?概要とメリット

2017.06.08

サイト利用者側も対策を!

Webサイトが改ざんされても、サイトの見た目やデザインがおかしくなることはほぼありません。改ざんされたサイトかどうか判断するのは、難しいです。

利用者側でも、セキュリティソフトを入れ、ソフトウェアを最新状態にしておくなどの対策が必要です。

8. 改ざんの有無をチェックする方法

検索から確認

Googleなどで自分のサイトを検索し、「このサイトは第三者によってハッキングされている可能性があります」といった表示がされていないか確認します。

「このサイトは第三者によってハッキングされている可能性があります」原因と対処法を解説

2016.10.24

全ページのソースを確認

挿入した覚えのない不正なスクリプトが含まれていないか?チェックします。

Webに公開されているページだけでなく、編集するパソコンに保存されているページも確認します。これはブラウザ上の見た目が改ざんされても区別できないためです。

FTPへのアクセスログを確認

管理者がアクセスした日時以外に不審なFTPアクセスがないかチェックします。

9. 改ざんされたかも?と思ったら

使用しているセキュリティソフトの会社へ問い合わせる

万が一のことが起きたら、業者へ連絡し調査してもらうことができます。

別のセキュリティソフトを使ってみる

おかしなことが起きているのに脅威を検出できない場合は、別のセキュリティソフトで試してみると、検出できることがあります。使用中のソフトにはない、使える便利な機能があることも。

セキュリティソフトを入れていても、ウィンドウズやAdobeを最新にバージョンアップしていても、感染することがあります。「ウイルスはいつ感染してもおかしくないもの」として、ふだんから準備をしておくことが必要です。

10. 二次感染防止に無料セキュリティ診断を受ける

復旧しサイトを再開できても、二次感染の可能性があるので油断はできません。例えば数十台あるサーバーのうちの1つに対策漏れがあると、そこからまた改ざんされるかもしれません。

セキュリティ対策を完璧にするのは難しいです。外部の第三者であるプロがおこなうセキュリティチェックを受けることで、安全なサイト運営ができます。

まとめ

改ざん防止のためのセキュリティ対策は、すべてのサイトやパソコンに必要です。改ざんは、サイトの見た目に変化がないのに、アクセスした人へつぎつぎと被害を及ぼしてしまいます。サイトの脆弱性をなくし、定期的にセキュリティチェックをすることは、Webサイトを持つ企業の義務です。

【法人さま限定】いますぐサイバー攻撃を解決します!
セキュリティ事故調査、対策ご連絡ください。

「自社サイトがハッキングされたらしい!」「社内メールが送受信できない!」
そんなセキュリティトラブル、早急に調査・解決します!

サイバー攻撃の有無、被害状況がすぐに分かります。

【初期調査は無料!】

  • 最短即日の打ち合わせ、翌日から作業の実施可能
  • 調査、復旧作業はキャリア10年以上の専門エンジニア
  • どのような環境、状況の事故も柔軟に対応可能
  • 会見や弁護士の対応に関するサポートも可能
サイバー攻撃は時間の経過とともに被害が拡大します。
「なにかおかしい」と思ったら、すぐご相談ください!
security_2209