ゆりか先生のセキュリティひとくち講座
改ざんされたウェブ サイトから身を守ろう

「○○社のウェブ サイトが改ざんされていた」というのをニュースで耳にされていた方も多いのではないでしょうか。近年特に、ウェブ サイトの改ざん事件は増えています。ウェブ サイトの改ざんによるセキュリティ脅威は、情報処理推進機構 (IPA) が発表している「2014 年版情報セキュリティ 10 大脅威」でも第 3 位の脅威として選ばれています。

■ウェブ サイトの改ざんとは?

その名のとおり、ウェブ サイトが悪意のある第三者によって内容を改ざんされてしまうことを指します。ウェブ サイトが改ざんされてしまうと、そのウェブ サイトを閲覧しているユーザーは、悪意のある他のサイトへ誘導されたり、マルウェアをダウンロードされたりするよう誘導されたりします。ウェブ サイト自体は、ユーザーがいつも利用している正規のサイトであることから、内容だけが書き換えられてしまっていても、気づきにくく、被害に遭いやすい傾向にあります。

例: 正規のサイトにパスワードを求める文章を追加され、悪意のあるサイトへ誘導される

例: 正規のサイトにパスワードを求める文章を追加され、悪意のあるサイトへ誘導される

見た目の表示が改ざんされているという分かりやすいケース以外にも、ウェブ サイト上の処理で内部的に実行されるスクリプトが書き換えられているなど、見た目が変わらない改ざんのケースが特に増えています。このようなケースの場合、ウェブ サイトを管理している側でも、見た目以外の処理内容まで細かくチェックする機会が少ないことからも、改ざんが発覚しにくく被害が拡大する傾向にあります。
この他に、ウェブ サイトの改ざんは、ハクティビズム (社会的な主張を行うために攻撃を行うこと) として行われることも多くあります。自身の主張を行うために、著名なサイトに表示される文章や画像などを書き換えるケースがあります。

■改ざんの原因

ウェブ サイトが改ざんされてしまう原因は、攻撃者がなんらかの方法で、ウェブ サイトのサーバーやサービスに侵入されたり、意図せずウェブ サイトの内容を更新されたりすることで、行われます。
情報処理推進機構 (IPA) の調査によると、約 30% の被害は、脆弱性を悪用したものであったことが分かっています。そのほか、調査によって明らかになっている原因には以下のようなものがあります。

  • ウェブ サイトを構築しているサーバーや、ツール、ソフトウェアの脆弱性が悪用される
  • ウェブ サイトを管理するために利用している端末が、マルウェア感染被害に遭い、資格情報 (ユーザー名とパスワード) が盗用される
  • ウェブ サイトを管理するために利用しているユーザー名やパスワードを複数人で共有していたり、パスワードが推察されやすいなど、不備があったため、悪用される

■ウェブ サイト改ざんへの対策

ウェブ サイトを提供する管理者側

ウェブ サイトを提供しているサービスの場合は、現在運用しているサイトやサービスが、改ざんの被害にあっていないかを改めて確認するとともに、基本的なセキュリティ対策を行い、改ざんの原因となる事項への対策を行いましょう。また、管理ができていないまま放置されているウェブ サイトが悪用されるケースもありますので、そのようなサイトがないかも確認しておきましょう。
情報処理推進機構 (IPA) には、管理者向けの対策方法が多く掲載されています。ぜひこちらを参考にしてください。

利用するユーザー側

被害を防ぐには、もちろん、サーバー側や、ウェブ サイトの管理側での対策が必須です。しかしながら、閲覧するユーザー側も、改ざんが行われたサイトを閲覧したとしても、マルウェアや情報漏えいなどの最終的な被害に遭わないためには、以下のような基本のセキュリティ対策を行うことが重要です。

  • ファイアウォールをインストールして常にオンにする
  • PC やソフトウェアを最新版に保つ
    Windows を利用している場合は自動更新機能を使用してオペレーティング システムおよびソフトウェアを常に最新版に保ちましょう。そのほか、追加で利用しているアプリケーションも、更新しておきましょう。
  • セキュリティ対策ソフトウェアを利用する
    Microsoft と提携しているマルウェア対策プログラム (Microsoft ヘルプとサポートのウイルス対策ソフトウェアベンダーの一覧) や、マイクロソフトが提供している無償のマルウェア対策ソフトウェア Microsoft Security Essentials、あるいは Windows Defender を利用しましょう。また、セキュリティ対策ソフトウェアも最新に保つことが重要です。
  • サポート対象内の製品を利用する
    サポートが終了してしまった製品は、セキュリティ更新プログラムやセキュリティ対策が提供されず、永遠の「ゼロデイ」にさらされ続けることになります。また、万が一、ウイルスの被害に遭ってしまったとしてもサポートを受けることができません。サポート対象の製品を利用するようにしましょう。

■被害に遭わないために

今回ご紹介したように、ウェブ サイトの改ざんは、「信頼のおけるサイトがいつの間にか悪意のある動作に変わっている」点が被害を気づきにくくしています。「正規サイトはみるけど、怪しいサイトはクリックしないから自分は絶対大丈夫」と思っている方もいませんか? 攻撃者が仕掛けてくる手法は、ますます巧妙になり、正規サイトにも見えない脅威が潜んでいます。ぜひ、セキュリティ設定をいまいちど見直してみてくださいね。