事例で学ぶセキュリティインシデント（第9回）対策の不備が信用問題になりかねないWebサイトの改ざん

公開日：2024.02.15

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　I社のWebサイト担当者から慌てた声で内線電話がかかってきた。

　「Webサイトを更新しようとしたら、パソコン画面にウイルス感染の警告が出ました。すぐに見てもらえませんかっ！」

　問い合わせを受けたIT担当者は「まずは落ち着いて」と声をかけ、Webサイトのサーバーをすぐにネットワークから切り離すように指示し、電話を切った。そして、Webサイトが何者かに攻撃され、改ざんされた可能性があることを悟った――。

サイトの改ざんでネット販売を一時停止

　大阪で小売業を営むI社は、商業施設に出店するショップの他に自社で構築・運用するWebサイトを活用して海外の生活雑貨を中心に商品の宣伝・販売を行ってきた。近年はネット販売の売上比率も高くなり、Webサイトを訪れる消費者が商品を検索、注文しやすいようにユーザーインターフェースを工夫するなどネットに力を入れている。

　I社は専任のIT部門はなく、管理部門の社員が社内システムの運用などを担当してきた。Webサイトをはじめ、情報システムのセキュリティ対策にも目を配り、これまで特にインシデントが起こるようなことはなかった。だが、近年他社のWebサイトが改ざんされ、ネット販売などサービスの一時停止が余儀なくされるケースは耳にしており、IT担当者は「ついにうちもやられたか」という思いだった。

　Webサイトの改ざんでは、コンテンツ管理システム（CMS）のぜい弱性を悪用して攻撃する手口が知られている。また、Webサイト管理者のアカウントを盗み取り、サイトに不正なリンクを埋め込んで改ざんする手口もある。利用者はそれとは知らずに不正なWebサイトへアクセスし、パソコンがウイルス感染するなど、Webサイトを運営する企業のみならず、利用者にも被害が広がる恐れがある。また、企業の「顔」とも言えるWebサイトの改ざんは信用問題にもなりかねない。

　ネットショッピングなどのWebサイトでは会員の氏名や住所、電話番号、購入履歴、クレジットカード番号などの個人情報がデータベースに登録されている。データベースと連携するWebアプリケーションのぜい弱性を悪用し、データを不正利用する「SQLインジェクション」や、Webページに悪意のあるスクリプトを埋め込む「クロスサイト・スクリプティング」などの手口は以前から知られ、データベースに蓄積された個人情報などが不正に閲覧されたり、情報が改ざんされたりするなどの危険性がある。

重要になるWebアプリのセキュリティ対策…

　Webサイトの改ざんなどの脅威を防ぐには、まず利用しているソフトウエア製品やサーバーのOS（基本ソフト）を常に最新版にすることが重要だ。そして、ソフトウエアのぜい弱性にかかわる情報が公開された際にすぐに対策が行えるよう、Webサイトで利用しているソフトウエアのバージョン管理などを適切に行う必要がある。

　ただ、やっかいなのは、ぜい弱性対策情報が公開された場合、攻撃者がその情報を悪用し、ベンダーが修正プログラムを公開する前に攻撃を仕掛けたり、企業がぜい弱対策を講じる前に攻撃の被害に遭ったりするケースもあることだ。攻撃者は攻撃用のコードをブラックマーケットで流通させるなどで攻撃までの時間も短くなっている。こうした攻撃を防ぐにはサーバーやパソコン、ネットワークを多層的に防御するセキュリティ対策とともに、Webサイトのセキュリティ対策としてWebアプリケーションファイアウォール（WAF）も有効だ。

　社内ネットワークと社外のインターネットの出入り口（境界）などに設置するファイアウォールはネットワークレベルで通信を制限するのに対して、WAFは上位のアプリケーションレベルで通信内容をチェックし、Webアプリケーションへの攻撃を定義ファイルと照らし合わせて検出、防御する。そのため、ウイルス対策と同様に定義ファイルを常に最新版に更新しておくこともポイントになる。

WebサーバーのOSやCMSを更新

　I社のIT担当者はIT事業者のサポートを得ながら、Webサーバーのログを解析し、Webサイトがどのように不正アクセスされ、改ざんされたか原因究明を行った。Webサイトの担当者が改ざんとウイルス感染にいち早く気付き、直ちにWebサーバーをネットワークから切り離したため、幸いにも利用者への感染被害やデータベースからの情報流出などは免れたと判断した。

　IT担当者は、インシデントの経緯とWebサーバーの一時停止による業務への影響などを経営者と社員に報告。Webサーバーのウイルス駆除や、社内の他のサーバーやパソコンのウイルス感染の有無や不正アクセスの形跡がないかどうか調べた後、Webサイトを再稼働させた。そして、Webサイトで改ざんのインシデントが発生したことと、万一Webサイトにアクセスしてウイルス感染などの被害に遭った利用者がいる場合に備え、専用の問い合わせ窓口を開設したことをホームページで公表した。

　Webサイトのセキュリティ対策として、WebサーバーのOSやCMSなどを更新するとともに、サイトで使用しているソフトウエアの製品名やバージョン管理を徹底。これにより、ソフトウエアのぜい弱性対策情報が公開された際、直ちに対策が行えるようにした。また、Webサイト担当者（管理者）のアカウントが盗まれ、Webサーバーに不正アクセスされる恐れもあることから、パスワードの使い回しは止めるなど、ID、パスワード管理の徹底を全社員に伝えた。

　オンプレミスで構築・運用しているWebサーバーやDBサーバーなどをクラウドに移行することも今後の検討課題になる。利用者が増え、アクセス数が増えた場合でも、クラウドであればリソースを柔軟に増強できる。また、WAFなどのWebサイトのセキュリティ対策についてもクラウドサービスやクラウド事業者に任せることにより、Webサイトのセキュリティ対策の負荷を軽減できると見ている。その分、社内のWebサイト担当者はコンテンツの制作・更新などに注力でき、ネット販売の強化につながると考えている。