DocuTracker 電子帳簿保存法対応

ナレッジ

ナレッジ データ改ざん関連

WEBサイト改ざん検知は導入必須!詳しい仕組みや被害事例を紹介



WEBサイトのテキストや画像を改悪し、マルウェア感染やフィッシングサイトへの誘導等の被害をもたらすWEBサイト改ざん。もしWEBサイト改ざんが起これば、被害はWEBサイトのみにとどまらず、取引先やWEBサイトを利用するユーザーからの信頼を失う事態に発展します。万が一WEBサイト改ざんが起こったときに迅速に対応するためには、WEB改ざん検知のツール・サービスを導入しておくことが重要です。この記事ではWEBサイト改ざん検知について、紹介します。


WEBサイト改ざんとは?なぜ検知が必要?


まずはWEBサイト改ざんとその影響、必要性から見ていきましょう。



WWEBサイト改ざんとは

WEBサイト改ざんとは、悪意ある第三者がWEBサイトのコンテンツを不正に変更する行為です。改ざんにより、次のようなことが起こりえます。


  • ・WEBサイトとは無関係の画像や文章が掲載される
  • ・WEBサイトを閲覧しただけで不正なプログラムが実行される
  • ・フィッシングサイトにリダイレクトされる
  • ・WEBサイトで保持していた個人情報が窃取される
  • ・WEBサイトを訪れた人がウイルスに感染する

WEBサイト改ざんが起こる主な原因は、WEBサイト運営側の情報管理やセキュリティ対策の不足です。悪意ある第三者が組織内で適切なアクセス制御が行われていないアカウントを窃取し、そのアカウント情報を悪用してサーバーに不正アクセスを行う、といった形でWEBサイト改ざんの被害が生まれるのです。


WEB改ざん検知とは

WEB改ざん検知とは、WEBサイトを監視し、改ざんが発生した際にWEBサイト運営者等に通知を行う仕組みです。WEBサイトの安全性を維持するために、WEB改ざん通知はWEBサイトで活用すべき重要な機能となります。


WEB改ざん検知が必要な理由

WEB改ざん検知が必要とされるのは、WEB改ざんが組織やユーザーに大きな被害を及ぼす可能性があるためです。

WEBサイトが改ざんされてしまうと、見た目が変更されるだけでなく、サイトから個人情報が盗まれたり、サイトの閲覧者をフィッシングサイトにリダイレクトさせたりなど、被害がさらに拡大していく恐れがあります。さらに、ECサイトが改ざんの被害にあった場合、サイトを閉鎖している間は商品の販売ができないため、大きな機会損失になりかねません。

また、改ざんされたサイトを運営している企業の信用も失墜してしまうでしょう。たとえばいたずら目的で、あるWEBサイトが改ざんされたとします。不快な画像を掲載する程度の軽微ないたずらだとしても、サイトの訪問者はそのWEBサイトを「改ざんされるほど技術力に劣るサイト」とみなすでしょう。そうなればWEBサイトの信用が失墜し、ひいては組織の信用も落ちてしまい、企業経営に影響してしまいます。

またWEBサイトにマルウェアが仕込まれるなどして個人情報漏えいが起こった場合には、企業の情報セキュリティ体制の不備が指摘されることになります。場合によっては損害賠償となる可能性もあります。WEBサービス停止となれば、経営の危機にもなりかねません。

WEB改ざん検知の実施は、このような問題を起こさないためにも必要なのです。


WEB改ざん検知の仕組みとは


WEB改ざん検知の基本的な仕組みは、ファイルのハッシュ値のチェックや、異常な通信の検出など、いくつかあります。



ファイルのハッシュ値チェック

サーバー上のファイルのハッシュ値を別の環境に保管しておき、現在のWEBサイトのハッシュ値と定期的に比較する方法です。ハッシュ値とは、ファイルの内容から特定のアルゴリズムによって生成される文字列のことです。ハッシュ値から元のファイルの内容を復元することは不可能であり、またファイルの内容が変わればハッシュ値も変わります。もしファイルが改ざんされるとハッシュ値が異なるため、改ざんを検知できるのです。ハッシュ値のチェックは、サイバー攻撃の手口によらず改ざんを検知することができます。


パターンマッチング

過去に行われたサイバー攻撃の手法をパターンとして記録しておき、現在の状況とパターンファイルを照合して不正な通信を見つける方法です。既知の脅威には有効ですが、未知の脅威や画像ファイルなど、対応できないものもある点には注意が必要です。


スナップショット比較

スナップショットを保管しておき、元システムと比較する方法です。スナップショットとは、ある時点でのファイルやデータベース、ソースコードなどを切り取ったものです。またWEBシステムが正しい状態で保存されたスナップショットを、ベースラインといいます。このベースラインとスナップショットのサイズや日時などを比較するのがスナップショット比較です。この方法は、視覚的な変更にも対応できます。


HTTPS証明書の監視

HTTPS通信の証明書であるSSL/TLS証明書を監視することもWEB改ざん検知の方法のひとつです。WEB改ざんが行われると、SSL/TLS証明書にも変更や無効化が発生する場合があります。SSL/TLS証明書を常時監視し、その状態の変化を検知することで、改ざんの早期発見につなげます。


WEB改ざん検知ができるツール


続いて、WEB改ざん検知ができるツールやサービスを紹介します。主なツールとしては以下の2種類が挙げられます。


WEBサイト監視ツール・改ざん検知サービス

WEBサイト監視ツールは、WEBサイトの稼働状況をリアルタイムで監視し、異常や遅延などを検知してサイト運営者等に通知を行うものです。多くのサービスでは、監視対象となるURLをツールやサービスに登録すれば、ツールやサービスが定期的・自動的にWEBサイトの解析を行うという仕組みを持っています。ファイルに対する書き込みやアクセスなど異常な活動が判明した場合には、アラートを飛ばします。


WEBアプリケーションファイアウォール(WAF)

WAF(Web Application Firewall)は、WEBアプリケーションの脆弱性を突いた攻撃を監視し、防ぐためのセキュリティツールです。WAFはリアルタイムで通信を監視し、シグネチャと呼ばれるサイバー攻撃の攻撃パターンを用いて、攻撃の検知を行います。また不正なリクエストはブロックします。


WAFは、WEBアプリケーションをサイバー攻撃から守る基本的な情報セキュリティ対策です。WEB改ざん対策としてだけでなく、他の攻撃からWEBアプリケーションを保護することにも役立ちます。


WEB改ざんによる被害の具体的事例


WEB改ざんは企業や個人にどのような損害をもたらすのでしょうか。ここからは、実際過去に起こったWEB改ざんによる被害事例を紹介します。



中央省庁WEBサイト連続改ざん

2000年1月、当時の科学技術庁がWEBサイトを改ざんされました。直接的な原因はWEBサーバーに修正プログラム(パッチ)をあてていなかったこととみられています。その後他の省庁でもWEBサイト改ざんが相次ぎました。いずれもWEBサーバーにパッチをあてていなかったり、サポートが切れた旧バージョンのOSを使っていたりと、今では考えられないようなずさんな管理が原因でした。

この事件の1カ月後、政府は内閣官房に「情報セキュリティ対策推進室」(現在の 内閣サイバーセキュリティセンター:NISC)を設置します。それまで試行錯誤の状態だった情報セキュリティの政策を本格的に取り組むこととなったきっかけでもあります。


成田空港WEBサイト改ざん

2015年3月、成田空港が公式WEBサイトと会社情報サイトを一時閉鎖していたことを発表しました。理由は、両サイトのコンテンツ管理システム(CMS)に外部から侵入され、コンテンツが改ざんされたことが判明したためです。改ざん後のWEBサイトでは、フィッシングサイトに自動的に誘導される状態となっていました。この事例では個人情報の漏えいやウイルス感染等の被害はなかったものとみられています。


ベネッセグループの運営サイトのWEB改ざん

2017年ベネッセグループである株式会社ベネッセシニアサポートが運営するWEBサイト「ベネッセの介護相談室」でWEB改ざんが発生しました。改ざん内容は、WEBサイトにアクセスした人を他のサイトへ誘導するというものです。運営側は事態が発覚してからWEBサイトへのアクセスを遮断し、対応にあたりました。このサイトへの不正アクセスや情報漏えいはなく、「ベネッセの介護相談室」以外のベネッセグループのWEBサイトにも不正アクセス等はなかったとのことです。WEBサイトが閉鎖されたのは約半日でしたが、ベネッセ側は第三者委員会の設置から再発防止策の立案まで、長期間対応に追われることとなりました。


ハセ・プロECサイトの偽決済画面

2018年~2019年にかけて、株式会社ハセ・プロが運営するカー用品等のECサイトにおいて、商品注文画面から偽のクレジットカード情報入力画面へ不正に遷移するように、WEBサイトが改ざんされる事件が起きました。偽の入力画面で入力をさせた後に正規の画面へ戻すという巧妙な手口で、1300件余りのカード情報が不正に窃取されたものとみられています。


WEB改ざんされていないことを証明する方法とは


WEB改ざんは、単なるページ内容の書き換えにとどまらず、個人情報の窃取やクレジットカード情報の抜き取りなど個人に対しても重大な被害を及ぼすものです。組織のWEBサイトが改ざんされていない状態を保つ必要がありますが、「改ざんされていないこと」は、一目見ただけでは判断できないこともあります。

WEBサイト運営者がWEB改ざんされていないことを確認するには、定期的なセキュリティ監査の結果や改ざん検知ツールのレポートなどを活用できます。ユーザーとしては、SSL証明書が有効であるか、WEBサイトに信頼性のあるセキュリティマークが表示されているか、といったことで判断が可能です。


まとめ


WEB改ざん被害は件数こそ減ってきているものの、昨今ではフィッシング詐欺など被害の影響が大きく、対策が必要であることには変わりありません。WEB改ざん検知に対しても、適切なツールを活用するようにしましょう。

WEB改ざん検知に限らず、サイバー攻撃は未然に防ぐだけでなく、攻撃を受けた後の対処が極めて重要です。組織内の情報資産に被害がないかチェックする際には、「データが改ざんされていないことを証明できるサービス」を活用すると、迅速な対応ができるでしょう。

データが改ざんされていないことを証明するためには、タイムスタンプを付与するサービスが効果的です。タイムスタンプは、デジタル文書が特定の時刻に存在していたこと、そしてそれ以降改ざんされていないことを証明する技術です。文書にタイムスタンプが付与されているということは、改ざんされていないことの証になります。

DocuTrackerは、クラウドストレージサービスに保存されたファイルに、自動的にタイムスタンプを付与することが可能なサービスです。タイムスタンプの付与に加えて、ファイルを識別する値である「ファイルハッシュ」もブロックチェーンに保存される仕組みになっており、任意のタイミングでファイルが変更されていないことを証明することができます。Googleドライブだけでなく、Microsoft OneDriveやDropbox、Boxにも対応しています。 DocuTrackerは内部不正の防止にも役立ちますので、広く情報資産改ざんへの対策として検討してみてはいかがでしょうか。



電子書類・データが改ざんされていないことを証明し、保管履歴の証明が可能。DocuTracker、詳しくはこちら ≫