Webサイト改ざんのリスクその手口

Webサイト改ざんのリスクその手口

Webサイトの改ざんは、ネットショップを運営する上で特に注意しなければならない脅威の一つです。

今回は、悪意ある者による改ざんをどのように防ぐべきなのか、そのリスクと手口、対策についてご説明します。

Webサイト改ざんのリスクとは

Webサイト改ざんとは、Webサイトのコンテンツまたはシステムが、悪意ある者によって書き換えられることを言います。

改ざんと聞くと、サイトにいたずら目的の画像やメッセージが表示されたものを想像するのではないでしょうか。そうした目に見える改ざんもありますが、近年増えている改ざん手口はむしろ、目には見えない改ざんです。サイトを閲覧した利用者の端末にマルウエア(悪質なシステムやコード)を感染させるもの、システム内に侵入するためのバックドアを設置して情報搾取を行うものなどがとくに悪質なケースとして挙げられます。

外部からの不正アクセスを許したということだけで、企業としての信頼は揺らぎます。その上、WEBサイトへの改ざんによりマルウエアの拡散、顧客情報の漏えいなどがあれば、サイト利用者や顧客にも多大な迷惑をかけます。そのリスクは非常に高いと言えるでしょう。

Webサイト改ざんの手口

Webサイト改ざんには主に次の4つの手口があります。

管理者アカウントの乗っ取り

Webサーバにリモートアクセスできる管理用アカウントの情報を窃取し、管理者になりすましてWebサイトを操作し、改ざんする手口です。アカウント情報の管理の甘さからIDとパスワードを知られてしまうこともあれば、管理用自身のPCがマルウエアに感染することで情報を盗まれることもあります。

ソフトウェアの脆弱性を狙った外部攻撃

サーバ上で動いているWebサイト運用ソフトウェアの脆弱性を突く外部攻撃もあります。とくにオープンソースのCMS(コンテンツマネジメントシステム)はソースが公開されているために脆弱性を狙われやすいという特性があるため、オープンソースを導入する際は、改ざん対策を前提に慎重に選定を行い、利用においても常に注意が必要です。

独自開発したアプリケーションを狙った外部攻撃

Webアプリケーションの脆弱性も標的になります。有名な攻撃手法としては、Webページで不正なSQL文を入力してデータベースの操作などを行うSQLインジェクション、悪意のあるスクリプトを差し込んで個人情報の不正収集などを行うクロスサイトスクリプティング(XSS)、ログイン済みのユーザーを悪意のあるURLなどにアクセスさせ、ログインしているWebサイトに対して意図しないコードを実行したり、なりすましなどを行うクロスサイトリクエストフォージェリ(CSRF)があります。

社内の者による改ざん

社内に悪意ある者がいた場合は、内部からの不正アクセスによる改ざんが行われます。サイトの管理権限を持つ者自身、彼らの近くにいる者、退職した人間にも可能性はあります。内部の者が改ざんに関わっているケースは、残念ながら少なくありません。

Webサイト改ざんへの対策

CMS、Webアプリケーションはサイト構築段階からセキュリティ対策を意識し、そのための予算を確保することが推奨されます。セキュリティが強固なCMSを選定し、利用していない拡張機能は削除する、常に最新版にアップデートする、脆弱性に関するニュースを確認するなどの注意を怠らないようにします。独自開発のWebアプリケーションも脆弱性について対策がなされているかなどをチェックします。ネットショップのショッピングカートシステムなどは、とくに安全性を重視したシステムを選択すべきです。

管理者アカウントの管理は細心の注意を払って厳重に行います。パスワードは文字数が多く、予測できない複雑なものにすることが前提です。管理システムにアクセスできる者の数は最小限に絞り、その上でパスワードを他人に教えない、メールなどでやりとりしない、メモを作らないなどのルールを徹底させます。定期的なパスワードの変更も必須です。パスワードを忘れてしまうのが心配な場合は生体認証などを活用したパスワード管理ソフトを使う方法もあります。

また、管理者用PCにセキュリティ対策ソフトを導入し、サイト更新にのみ使用する方法もあります。管理システムへのアクセスログの監視、内部の者による不正アクセスを想定したセキュリティ対策も実施しましょう。

以上の対策のほか、万一、自社のサイトが攻撃を受けた時に検知するシステムや、一定周期で監視してチェックする体制を構築します。セキュリティ診断会社に脆弱性診断を依頼する方法もあります。診断費用はかかりますが、セキュリティにかかる工数を減らすことができますので、検討してみる価値はあるでしょう。セキュリティ対策は継続して行うことに意味があります。

Webサイト改ざんを防ぐには、まずどのような手口があるのかを知ることが重要です。その上で、手口に応じた有効なセキュリティ対策を考えていきましょう。