Webサイトの改ざんから自社ホームページを守る方法

84
Webサイトの改ざんから自社ホームページを守る方法

昨日にひき続き、また別のホームページがWebサイトの改ざん被害に遭いました。

現在、内容を調査中ですが監視サポートをお受け頂いていないクライアント様なので、難航しているというのが現状です。

ここまで私が作成したホームページが立て続けに改ざん被害に遭うと、何か私自身のホームページ作成時に不手際があるのではないかと懸念し、Webサイト改ざんに関する情報を集めてみました。

それが、冒頭に掲載している「独立行政法人 情報処理推進機構(IPA)」に掲載されていた、月間Webサイト改ざん被害報告推移グラフです。

(参照元:https://www.ipa.go.jp/about/press/20140813.html

こちらの数字は、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)に寄せられた改ざん被害報告数ですので、報告されていないものはこれの10倍はあるだろうという記事も見つける事ができました。

サイト改ざん被害、月間400社

サイト改ざんの被害報告を行なっている数が月間400に登るという事は、年間5,000件弱という計算になります。

過去には、トヨタ自動車、ワコール、日産自動車などの大手メーカーサイトですら被害にあっており、これらのWebサイト改ざんをウォッチするサービスや、修復するサポートサービスなどもあるようです。

Webサイト改ざんからホームページを守る方法を調べてみました

Webサイトの改ざんを未然に防ぐ事は、手口が多岐にわたり新たな改ざん手法が次々に出ているようですので、完全にシャットアウトする事は難しいようです。

最低限のWebサイト改ざん対策

  1. サーバー内のシステムを最新の状態に保つ
  2. サーバーへのアクセスをIPレベルで制限する
  3. サーバー内ソフトウェアのログイン情報を定期的に変更する

などが挙げられます。

が、しかし、これらの方法をとれば万全か!と言えばそうではありません。

「IP偽装」という言葉をご存知のいらっしゃることでしょうが、現に「なりすましIP」を使い、侵入してくる事も考えられますので、上記はあくまでも「予防策」としてしか効果がありません。

言い換えれば、インフルエンザのようなものかもしれません。

Webサイト改ざんから自社サイトを守るサービスには、月額2500円からできるものや3万円程度で監視などを行なってくれるサービスをすぐに見つける事ができますが、サービス内容を見るとどのサービスも「Webサイト改ざんを検知⇒メンテナンスページを表示⇒修復作業」という流れになっています。

これは、最終のホームページバックアップデータとの差分を検証し、通常の更新作業では起こり得ないデータの介入が行なわれた場合に発動するものと考えられます。

また、先述の通りWebサイト改ざんの手口は毎年エスカレートしてきておりますので、価格が安いところがどこまで対応できるのか、また価格が高ければ、最新の手口からも復旧できるのかという確証は得られないというのが現状のようです。

公的機関のサイバーテロ課に勤務する先輩から受けた情報によると

私の先輩に公的機関のサイバーテロ課に所属する先輩から、可能な範囲で情報を頂きました。

具体的な所属機関の名称を公開できないのはご了承ください。

先輩の話しによると、冒頭でご紹介したとおり、トヨタや日産、ワコールと言った大手企業でさえも、Webサイトの改ざん被害に遭う事からも分かる通り、セキュリティに関する取り組みを行なっていたとしても、その手口は次々に新しいものが生まれ攻撃されているのが現状で、シャットアウトする方法はなく「イタチごっこ」の体を崩せないというのが実際のところのようです。

ただし、これらのWebサイト改ざんに関する最新情報を発表している国の機関、独立行政法人などもあり、セキュリティを専門とする技術者は、その最新情報を頼りに、自社で管理するホームページに(Webサイト改ざん攻撃の)順番がまわって来る前に、対策を講じるという事だそうです。

先輩の専門が、サイバーテロですので、Webサイトの改ざんや企業ホームページヘの攻撃に関しては、また別の係があるそうで、今後、公開可能な情報に限ってはご連絡頂く事となりました。

今回、教えて頂いたWebサイト改ざんに関するお話としては、下記のようなサイトで最新のサイバーセキュリティの情報が掲載されるらしく、セキュリティの専門家はこちらの情報を基に、自社で管理しているサイトに攻撃の順番が回ってくる前にできる限りの対策を打っているとのことでした。

(順不同)

結論:Webサイトの改ざんから自社ホームページを守る方法

Webサイトの改ざんから自社ホームページを守る方法の結論としては、極論、Webセキュリティに詳しい専門家と繋がっておく必要があり、1番初めの被害に関しては、防ぎようがないという結論しかだせないというのが現状のようです。

国内のWebサイト数と年間5,000件の被害という数字から算出される確立、報告されていないサイト改ざんの潜在被害はこの10倍に登るだろうという見解もあるようですので、その1番初めの被害に遭うという確立は、かなり低い確立となりますが、万が一、億が一の確立でこの「1」に当たってしまわれた場合は、専門機関で対応してもらうしかないと言えないというのがこの先も続きそうです。

そこで、各企業のWeb担当者は、アクセスアップやコンバージョンアップの施策が日常的な業務となっていることでしょうが、セキュリティに関する情報や専門家とのコネクションを育んでいくことも今後は必要になってきます。

おそらく、Webサイトの改ざん被害に遭うなんて、前回の記事「セキュリティ対策と被害事例」でご紹介させて頂いた通り「サメに襲われることを想像できますか」ということ然りで、予防に関して理解を示してくれないことも多いかもしれません。

その際には、当記事や関連の記事を上役の方にご紹介頂き、理解を求める手だてとして活用頂けると幸いです。

Webサイト改ざんに対する情報や、対策に関してまた情報が入りましたら、お知らせしたいと思います。

幸か不幸か、いくつかのサイト改ざん被害を体験し、復旧にも成功する事例を築くことができましたので、お困りの場合は、下記よりご相談ください。