相次ぐWebサイトの改ざん攻撃
~知らずにウィルスをばらまいてしまう!?事前に知っておくべき事とは~
自社でWebサイトを公開し、ショッピングサイトや会員制サイトなどを運営している企業はたくさんあると思います。もしこのWebサイトが攻撃を受け、改ざんされてしまったらと考えたことはあるでしょうか?
Webサイト改ざんとは、Webサイト内のコンテンツやシステムが攻撃者によって運営者の意図しない状態に変更される攻撃のことです。企業もしくは個人情報の一部、あるいはWebサイト全体を変える不正行為に該当します。
Webサイトの改ざんや、情報窃取などの被害が発生した場合は、サービスの停止や顧客への補償など、事業に直結する影響を受ける可能性があります。そこで今回は、攻撃の手法や事例、こうしたWeb改ざんの被害を防ぐためにできる対策をご紹介します。
Webサイトの改ざん被害の現状とは
Webサイトの改ざん被害の報告は継続的に寄せられ、JPCERTコーディネーションセンターによるインシデント報告が集計されています。
【図.Web サイト改ざん件数の推移】
- 引用:JPCERT/CC インシデント報告対応レポートhttps://www.jpcert.or.jp/ir/report.html
JPCERTコーディネーションセンターによると、インシデントは2016年4月の623件にピークを迎え、その後、200件前後で推移し、2017年後半は100件を切る月も多く減少傾向がみられたものの、2018年第二四半期以降は再び増加傾向を示すようになってきたとのことです。こうした状況からJPCERTではWebサイトの運営者、企業に対して注意を喚起して、定期的なチェック等対策を取ることを強く勧告しています。
攻撃の手法と影響
Webサイト改ざんの攻撃の手口には、大きく分けて「脆弱性を悪用した攻撃」と「管理者アカウントの乗っ取り」の2種類があります。
Webサーバ上の脆弱性を攻撃して改ざんする
Webサーバ上の脆弱性を利用して攻撃するケースでは、サーバOS、Webサーバ、CMS等の脆弱性攻撃によりバックドアを設置し遠隔操作によって改ざんする手法と、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法などがあります。
2017年の事例では2月、3月に特にWordPressで深刻な脆弱性が見つかり、Webサイトの改ざんが頻発しました。これはWordPressで発覚したREST APIの脆弱性により、攻撃コード(PoC)が公開され、大学や地方自治体など国内で複数のWebサイトが改ざんされる事態になったものです。こうした公開サーバの運用に広く活用されているミドルウェアで深刻な脆弱性が見つかった場合は、被害が広がる可能性が高く注意が必要です。
管理用アカウントを乗っ取り改ざん
Webサーバにリモートアクセス可能な管理用アカウントを乗っ取り、直接管理者としてウェブサイトの改ざんを行います。この場合、正規の手順で改ざんされてしまうので、発覚しにくいと言われています。
こうしたウェブサーバーにFTPで接続するクラインとPCがウィルスに感染し、FTPアカウントが流出してウェブ上のコンテンツファイルやデータが書き換えられてしまったケースがあります。
改ざんによる影響
改ざんによる影響は主に、ウェブサイトの表示が変わってしまう場合と、不正プログラムをしかけられてしまう場合があります。前者による攻撃では、単にいたずら目的でウェブサイトの表示やメッセージを変えたり、攻撃者の主張する文言などが掲載されてしまったり等HPの見た目が変わってしまいます。自社の意図しないメッセージを掲載されたり、企業イメージを損ねてしまったりする被害がありますが、閲覧したユーザーに直接の被害は生じません。
対して、後者の場合はウェブサイトを訪れたユーザーにも被害が及びます。例えば一般ユーザーが改ざんサイトへアクセスし、サイトに埋め込まれた不正なコードによって別の不正サイトに自動で誘導されてしまい、そこでウィルスやマルウェアなどの悪意のあるプログラムに感染してしまうケースなどが報告されています。
実際の事例
トヨタのサイト改ざん 閲覧でウィルスに感染(2013年6月)
トヨタ自動車のホームページの一部が不正なアクセスを受け、改ざんされていたことが19日、分かった。同社が発表した。ホームページ内のニュースサイトを閲覧すると、何らかのウィルスに感染する状態になっていた。同社は内部調査で閲覧者の情報が流出していないかなど実態把握を急ぐとともに、愛知県警に被害を報告した。
https://www.nikkei.com/article/DGXNASDG19048_Z10C13A6000000/
大手企業トヨタも過去にWeb改ざんの被害にあっています。このケースでは、「トップページ最新ニュース」「ニュース一覧」「投資家情報IRニュース」等のコンテンツにアクセスして閲覧すると、ユーザーのPCがウィルスに感染する被害が報告されています。
155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告(2017年2月)
WordPress向けのセキュリティプラグイン「Wordfence Security」を提供している米Feedjitは、WordPressのREST APIの処理に起因する脆弱性を突いた攻撃により改ざんされたウェブサイトが2月9日までに155万サイトを超えたことを明らかにした。「WordPressに関連する脆弱性のうち、最悪のもの」としている。
Feedjitによると、「MuhmadEmad」という攻撃グループによる39万7000サイトの改ざんをはじめ、20のグループ合わせて155万以上のサイトが改ざんされていることが判明したということです。このWordPressを狙った改ざん事件は日本のサイトも当然被害を受けています。
人気音楽ビデオが相次いで改ざん被害、YouTubeのVevoチャンネルでハッキング(2018年4月)
米YouTubeで現地時間の10日、人気アーティストの音楽ビデオが相次いで改ざんされる被害に遭った。メディア各社が伝えた。これに関連して音楽配信サイトのVevoは、同社のチャンネルがハッキングされ、ビデオが改ざんされていたことを確認した。
英BBCや米The Vergeなどの報道によると、YouTubeで視聴回数トップだった「Despacito」のカバーイメージは、マスク姿で銃を構える集団の画像に置き換えられ、その後一時的に視聴できなくなった。改ざんに使われたのは、Netflixの「Casa de Papel」という番組の一場面だった。
http://www.itmedia.co.jp/enterprise/articles/1804/11/news058.html
Web改ざんはYouTubeなどの外部サービスを利用している場合でも起こりえまsう。この事例のように、管理するアカウントのIDやパスワードがハッキングされれば、Web上で公開されているコンテンツはあっさりと改変されてしまいます。
対策と予防は?
サイト運営側の対策
・ミドルウェア、プログラム、プラグイン等のバージョンを最新に保つ
・Webアプリケーションの脆弱性の情報収集を行う
・FTPやYouTube等のログインIDやパスワード等を適切に管理する
・ファイヤーウォールなどで攻撃を遮断し、改ざん検知ツール等でコンテンツの改変をチェックする
一般ユーザーの対策
・OSのアップデートを定期的に実施する
・セキュリティソフトを入れて常に定義ファイルを最新の状態に保つ
・信頼性の低いサイトを訪れたり、フリーソフトなどをむやみにダウンロードしたりしない
Webサイトの改ざんの目的は営利的な事から他人・他企業を誹謗しようとする事、政治的な目的まで様々です。セキュリティ対策が不十分な中小企業のWebサイトが狙われる傾向があるものの、事例で紹介したように、大企業でも油断すれば被害にあってしまいます。さらに、自社のサイトからウィルスをばら撒き加害者となり、企業の信頼性を激しく損なう可能性もあります。ユーザーに被害を与えないためにも、サイトを運営側は企業責任としてきちんと対策を取るようにしましょう。また、一般ユーザーもただブラウジングしているだけで被害にあってしまう可能性があります。自分の個人情報が抜かれたり、PCがハッキングされたりしてしまわないように最低限の自衛は行いましょう。