ホームページの改ざん!原因究明・対処方法を実例で解説

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security1509

ホームページが改ざんされると、そのサイトを見た他の人にも被害を及ぼす恐れがあります。

Webサイト改ざんの件数は、ピークだった2013年後半よりは少なくなっていますが、それでも1ヶ月に約400件の報告があります。(JPCERT/CC調べ)

さらに近年、改ざんで金銭被害を受けるケースが増えています。ひと昔前は、いたずら目的でサイトを変えたりする改ざん行為が多くありました。

しかし今は、金銭目的の犯罪である改ざんがほとんどになってきています。

1. セキュリティソフトを入れていたのに改ざんされた例

あるIT企業で起きた改ざん事件の経緯

  1. 自社サイトにアクセスすると、おかしなメッセージが表示されていた
  2. サイトのソースを開くと、見覚えないソースが記述されており、改ざんされていた。またファイルの最終更新日が、覚えのない最新の日付になっているファイルが大量に存在していた
  3. そこで、使っていたセキュリティソフトでウイルススキャンするも「異常なし」。しかしウイルスに感染している可能性が疑われ、サーバーにログインすると、大量のファイル改ざんが発覚
  4. 数日かけて復旧作業をおこない、サイトを再開。感染したパソコンをリカバリーし、全データを初期化した

このように、セキュリティソフトがウイルスを検知できず改ざんされ、企業に大きな被害を与えてしまう事件が実際に起きています。

「セキュリティソフトを入れていても改ざんされる理由」と、改ざんを防ぐための対策方法について解説します。

2. 改ざんの原因は?

「海外のサイトを閲覧したときに、パソコンがウイルスに感染した」

上記のケースでは、セキュリティソフトがこのウイルスを検出・駆除しなかったため感染し、FTPパスワードが盗まれ、サーバーにログインされて、ファイルが改ざんされてしまった。

感染したとき、もしセキュリティソフトがウイルスを検知していれば…駆除ができ、大きな被害にはならなかったかもしれません。

※FTPとは?
File Transfer Protocol(ファイル・トランスファ・プロトコル)の略で、インターネット上でコンピュータ同士がファイル転送をするときに使われる通信上の決まりのこと。FTPにログインすることで、ファイルアップロードなどの操作ができます。

2-1. その他の改ざん原因・手口

サイトのソフトウェアやアプリケーションの脆弱性が攻撃され、改ざんされる

SQLインジェクションや自動攻撃ツールのランダム攻撃で、外部からサイトの穴を突かれて侵入されてしまいます。Webブラウザの脆弱性を突かれることもあります。

サイト管理者のパソコンがウイルス感染し、改ざんされる

ウイルスなど何らかの原因でサイト管理のID/パスワードが流出し、ログインやリモート操作されるなどの手口で改ざんされてしまいます。

この場合「正常なログイン」として侵入され、不正操作されてしまいます。サイト制作会社が乗っ取られ、担当するすべてのサイトが改ざんされる事件も起きています。

2-2. ウイルス感染する原因は?

標的型攻撃メールから感染

取引先や社内メールをよそおったウイルス入り添付ファイルを開いてしまい、感染します。

他の改ざんサイトから感染

改ざんされたサイトにアクセスし管理者のパソコンがウイルスに感染、管理サイトも改ざんされてしまいます。特定のIPアドレス(特定企業や省庁)からのアクセス者のみに感染させる手口もあります。

内部犯行による改ざん

組織管理用ポートへの攻撃など、社員などの権限を悪用し改ざんする手口です。

3. 上記ケースでおこなった対処・復旧の方法

3-1. サイトへのアクセスを遮断

お客様がサイトにアクセスできないよう、index.htmlファイルを修正。サイトに「メンテナンス中」と表示。しかしindex.html ファイルを修正してもすべてのアクセスは防げないため、サイトへのアクセスを完全に遮断した。

※作業は、感染していない別のパソコンからおこないます。感染の疑いのあるパソコンはネットワークから切断し、OSを再インストールします。
※場合により状況説明や問合せ用として、別サイトを用意する必要もあります。

3-2. 「ウイルスバスター」を使い復旧

ウイルス感染したサーバー上のファイルを、ウイルスバスターのセキュリティソフトを入れたパソコンにダウンロード。

すると、ウイルスが入れたソースを、ウイルスバスターが自動で除去してくれます。(除去できないソースは、手作業で除去)

3-3. サイトのアクセス制限を解除

すべてのサーバーで復旧作業が完了、万が一のためすべてのサーバーのファイルをバックアップし、FTPサーバーのパスワードをもう一度変更。サイトを再開。

※再開するときは、改ざんがあったことをサイトに掲載してください。(改ざんカ所、期間、想定される被害、ウイルスチェック方法、問合せ窓口など)

4. Webサイト改ざんの発生状況

2016年1月1日~2016年3月31日までのセキュリティ事故につながりかねない報告(インシデント)では、「Webサイト改ざん」が2番目に多く、かなりの割合を占めています。

4-1. 悪質化する近年のサイト改ざん

ひと昔前は、単なるいたずら目的の改ざんがほとんどでした。しかし今は、企業が倒産するほどの金銭被害をもたらす改ざんが増えており、どんどん悪質になっています。

4-2. サイト改ざんが容易に…改ざんツールの流通

いま、正規Webサイトが改ざんされる危険が高まっています。それは脆弱性のある正規サイトが山のようにたくさんあることに加え、このようなツールが出回っているため、攻撃しやすくなっているからです。

  • サイトを簡単に改ざんできるツールが、闇市場で流通している点
  • 「脆弱性があり、改ざんできそうなWebサイト」のリストが誰でも見られる

このようなツールがあるので、わざわざ不正サイトを作るよりも、すでにある正規サイトを改ざんしてウイルスをばらまくなどしたほうが簡単なのです。実際に、不正サイトを作るための「悪意あるWebドメイン数」は減少傾向にあります。

そして、マルウェア配布に利用されているサイトの67%は、改ざんされた正規サイトである、というデータもあります。(シマンテック「インターネットセキュリティ脅威レポート第19号」より)

5. サイト改ざんによる危険な被害

改ざんされたサイトにアクセスした人が、ウイルスに感染する恐れ

改ざんされたサイト側が、加害者になってしまう危険があります。

2014年に起きたネットバンキング不正送金事件では、様々な企業のサイトが改ざんされ、被害者がそのサイトを見たことでウイルス感染し、ネットバンキングのID・パスワードが盗まれ、不正送金の原因になっていました。

サイトに不正ファイルを埋め込まれるとどうなる?

  • 改ざんサイトへアクセスしたパソコンに、誘導コードが埋め込まれたファイルがダウンロードされる
  • 知らないうちに不正サイトへ誘導される
  • ウイルス感染させられる
  • 偽のログイン画面からID/パスワードを盗まれる

などの被害を与えてしまいます。(ドライブバイダウンロード攻撃)
怖いのはアクセス者が被害を受けたことに気づかず、被害がどんどん拡大してしまうことです。

サイトの閉鎖、売上・信頼ダウン

ウイルスを除去するにはファイルを削除するしかない…となると最悪の場合、サイト自体を削除しなければならない場合があります。また復旧作業中はサイトを閉鎖するため、売上がなくなります。

サイトを再開できたとしても、閉鎖していた期間や評判ダウンによる顧客離れ、SEO上のダメージ(検索エンジンにスパム登録され、上位表示されなくなるなど)によるアクセス数減少などの問題があります。

「セキュリティを怠った企業」として、ユーザーから管理責任を問われることもあります。社会的信頼も落ちてしまいます。

6. サイト改ざん よくあるカン違い

サイト改ざんやウイルス感染について、次のように思い込んでいる方は多いです。しかし実際は、攻撃者たちが巧妙にサイトのスキマを狙っています。

7. セキュリティソフトでは55%ものウイルスを防げない

セキュリティソフトのスキャンで「異常なし」と出ても、油断できません!新型ウイルスや攻撃方法は、セキュリティソフトで検知できないことがあります。

有名セキュリティソフトメーカーの「ノートン」も、“55%のウイルスは検出できない”と発表しています。企業では、法人向けの強固なセキュリティ対策をする必要があります。

あなたのウェブサイトやセキュリティに抜け穴はないか?プロの技術者がおこなうセキュリティ診断で、しっかりチェックすることも必要です。

重要情報がなくても狙われる

攻撃対象は、通販やネットバンキングのサイトではなく、機密情報のないサイトも狙われます。改ざんの目的が「アクセスした人へのウイルス感染」である場合、重要情報の有無は関係ありません。

ネット上では、ハッカーの「自動攻撃ツール」が24時間巡回しています。“企業紹介だけのサイト”こそ、対策が薄いとされて攻撃される可能性があります。

脆弱性があれば、どんなサイトでも狙われる恐れがあります。そのため、サイトの脆弱性を放置するのは危険です。
改ざん対策は、すべてのサイトに必要です。

8. 改ざんを防ぐ!対策方法

管理者に気づかれないように改ざんされるケースがほとんどなので、ふだんから対策する必要があります。

ウイルス対策ソフトを導入、更新する

やはりウイルス対策ソフトの使用は、最低限の対策として必須です。常に最新状態に更新しておきます。

ソフトウェアを最新に更新する

古いバージョンのソフトやアプリは、ウイルス感染する脆弱性のある場合があります。Windows、Office、ブラウザー、Flash Player、Adobe Reader(PDFの表示)、Javaは自動更新にしておきます。

FTPソフトにパスワードを記録させない

パスワードを複雑にすることも必要です。マスターパスワードも設定しておきます。

アカウントを共有しない

FTPや管理アカウントを複数人で共有していると、万一のときに原因究明が難しくなります。

サーバーにも脆弱性対策をする

法人向けセキュリティソフトや、セキュリティ会社による対策が必要です。

ウェブツールのセキュリティ対策をする

WordPress、Movable Type、XOOPSなどを使っている場合、プラグインやテーマを最新にアップデートしてください。

すべてのファイルをバックアップする

全ファイルをバックアップしていれば、バックアップをサーバーにアップロードするだけで復旧は完了します。

サーバーのファイルを整理しておく

万が一改ざんされた場合、サイトに関係ないファイルがあったり整理されていないと、復旧作業に時間がかかってしまいます。

アプリやOS、セキュリティソフトをアップデートし最新にする

すべてのセキュリティの基本です。ここでは、WAFの導入を推奨します。

WAF(Web Application Firewall)とは
Webアプリケーションの脆弱性を突く攻撃に特化した防御システムです。一般的なファイアウォールでは防げない攻撃(SQLインジェクション、クロスサイトスクリプティング、パラメータ改ざんなど)を検知し、不正アクセスを遮断します。

改ざん検知サービスを利用する

改ざんは早期に気づき、対処するスピーディさが重要です。改ざん検知サービスでは、契約内容により1日数回など定期的なチェックが受けられます。

Webサイト診断を受ける

どれだけ対策しても、100%サイトを守ることは難しいです。自社の脆弱性を専門業者に定期的にチェックしてもらい、少しでもセキュリティの穴を減らすことが必要です。診断を受けることで、サイトの状態を常に把握できます。

サイト利用者側も対策を!

Webサイトが改ざんされても、サイトの見た目やデザインがおかしくなることはほぼありません。改ざんされたサイトかどうか判断するのは、難しいです。

利用者側でも、セキュリティソフトを入れ、ソフトウェアを最新状態にしておくなどの対策が必要です。

9. 改ざんの有無をチェックする方法

全ページのソースを確認

挿入した覚えのない不正なスクリプトが含まれていないか?チェックします。

Webに公開されているページだけでなく、編集するパソコンに保存されているページも確認します。これはブラウザ上の見た目が改ざんされても区別できないためです。

FTPへのアクセスログを確認

管理者がアクセスした日時以外に不審なFTPアクセスがないか?チェックします。

10. 改ざんされたかも?と思ったら

使用しているセキュリティソフトの会社へ問い合わせる

万が一のことが起きたら、業者へ連絡し調査してもらうことができます。

別のセキュリティソフトを使ってみる

おかしなことが起きているのに脅威を検出できない場合は、別のセキュリティソフトで試してみると、検出できることがあります。使用中のソフトにはない、使える便利な機能があることも。

セキュリティソフトを入れていても、ウィンドウズやAdobeを最新にバージョンアップしていても、感染することがあります。「ウイルスはいつ感染してもおかしくないもの」として、ふだんから準備をしておくことが必要です。

11. 復旧しても安心はNG!二次感染を防ぐには

サイトを再開できても、二次感染の可能性があるので油断はできません。数十台あるサーバーのうちの1つに対策漏れがあるなど、セキュリティソフトを入れても、ウイルスを検出できない場合もあります。

セキュリティ対策を完璧にするのは難しく、強固なセキュリティ対策をしていても、一度はプロによるセキュリティチェックを受けることをオススメします。

まとめ

改ざんは、サイトの見た目に変化がないのに、アクセスした人へつぎつぎと被害を及ぼしてしまいます。サイトの脆弱性をなくし、定期的にセキュリティチェックをすることは、Webサイトを持つ企業の義務です。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >