Web改ざん
概要
「Web改ざん」とは?
Web改ざんとは、企業などが運営するWebサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。
攻撃の手法・特徴
攻撃者がWebサイトを改ざんする際の攻撃手法としては、以下の2種類があります
脆弱性攻撃による改ざん:
- Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します
- 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります
- 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます
管理用アカウントの乗っ取りによる改ざん:
- Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします
- 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります
影響と被害
攻撃者の目的により、Web改ざんによる被害も異なります
- Webページ上の表示がオリジナルとは異なるいたずら的メッセージや攻撃者の主義主張を表す内容に変更されます。Web上の表示が変わるだけであり、Webを閲覧したユーザに直接的な影響はありません
- 改ざんサイトへのアクセスを通じて不正プログラムに感染するドライブバイダウンロード攻撃。改ざんサイトにアクセスしたユーザは自動的に他の不正サイトへ誘導されます。不正サイト上に用意されている不正コードにより脆弱性攻撃などが行われ、最終的に不正プログラムに感染します
企業や団体が管理しているWebサイトが改ざんされた場合、セキュリティ対策を怠っていたものとして管理責任を問われたり、その企業や団体の評判が落ちる場合もあります
図:Web改ざんによる不正プログラム拡散(ドライブバイダウンロード攻撃)の流れ
対策と予防
ユーザ側
- ユーザ側では、改ざんサイトへのアクセスを通じて不正プログラムに感染する場合に備え、対策の必要があります
- ウイルス検出機能により不正プログラムを検出する
- 外部不正サイトへのアクセスをブロックすることにより、Web経由での不正プログラムの侵入や脅威連鎖による被害拡大を防ぐ
- 脆弱性攻撃に遭わないよう、OSや使用しているソフトウェアを常に最新の状態にする
Web管理者側
- Web管理者側ではサイト改ざんに遭わないための対策が必要です
- Webサーバに総合的なセキュリティソフトを導入し、常に最新の状態にする
- Webサーバ上のOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う
- 乗っ取りによる改ざん防止のため、Webサーバ管理用アカウントの管理を徹底する
- Webサーバに対する不審な通信を可視化し、外部からの脆弱性攻撃やブルートフォース攻撃の発生にいち早く気づけるようにする
- Webサーバのシステム改変監視、各種システムログ、セキュリティログの取得、およびログ監視の強化を行い、Webサーバの「異常発生」にいち早く気づけるようにする
IT管理者側
- エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする
- ゲートウェイ上で不正サイトへの誘導を目的とした攻撃メールの受信をブロックする
- ネットワーク内部から外部不正サイトへのアクセスをブロックする
トレンドマイクロのソリューション
ユーザ側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| 個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ | ウイルスバスター クラウド ウイルス検索機能による不正プログラムの検出 「Webレピュテーション」機能により、改ざんサイトから誘導される正サイトへの接続をブロック |
Web管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| Webサーバへ総合的なセキュリティソフトを導入する | ウイルスバスター コーポレートエディション、Trend Micro Deep Security、ServerProtectなどの対策製品の導入 |
| WebサーバのOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う | Trend Micro Deep Securityのリコメンドスキャン機能によりサーバ上に存在する脆弱性を把握し、仮想パッチ機能により脆弱性を狙った攻撃をブロックする |
| Webサーバ管理用アカウントの管理徹底 | パスワードマネージャーによるアカウント管理 |
| Webサーバに対する不審な通信の可視化 | Trend Micro Deep Securityのファイアウォール機能、IDS/IPS機能による不審な通信の検知 |
| Webサーバのシステム改変監視、各種システムログ、セキュリティログの取得、およびログ監視の強化 | Trend Micro Deep Securityの変更監視機能やセキュリティログ監視機能を使用する |
IT管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする | ウイルスバスター コーポレートエディションの導入 |
| ネットワーク内部から外部不正サイトへのアクセスをブロックする | ウイルスバスター コーポレートエディション、InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、外部不正サイトへのアクセスを遮断する |
| メールサーバにおける不審メールの検出 | InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品により、不正サイトへの誘導に繋がる不審メールを検出する |