同志社大学、産経新聞社…続々届く
サイト改ざん被害報告!
被害に遭う前に今やるべきこと

同志社大学、産経新聞社…続々届くサイト改ざん被害報告!被害に遭う前に今やるべきこと


サイト改ざんや 不正アクセス相次ぐ
大学、新聞社も被害

日本国内のウェブサイトでトップ画面を書き換えられるなどの改ざん被害が10月以降、急増している。被害は16日までの1カ月半で約180件。多くはハッカーが技術力を誇示する狙いとみられるが、次のサイバー攻撃に利用されかねない被害も見つかり、専門家が警戒を呼びかけている。

(2016年12月2日 日本経済新聞 電子版)より抜粋


被害報告は出ていないものの
不正ファイルが埋め込まれた悪質な被害も発覚

改ざんされたのは、企業や財団法人、学校、地域の医師会や商店などのサイト。

同志社大学(京都市)では10月下旬、理工学部の研究室のトップ画面が書き換えられ、剣と盾を持った人物の画像が表示され、文部科学省からの通報で判明した。

産経新聞社では今月10日、ウェブサイトに「Hacked By MuhmadEmad」と記されたファイルが一時、埋め込まれる被害があった。原因は調査中。同社は取材に「外部からの不正アクセスを検知した。表示内容が別のものに書き換えられるなどの改ざんの形跡はなく、個人情報の漏洩もなかった」(広報部)と回答。

サイバー攻撃対策を支援する一般社団法人「JPCERTコーディネーションセンター」は14日に注意情報を発表。攻撃者はWeb サーバに不正なファイルを設置することで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査活動を行う目的で、国内の複数のWeb サイトを改ざんしている被害も見つかっているとの報告もあった。

被害がないからと安心は禁物
ホームページ改ざんの影響は自社のイメージダウンにも

ホームページ改ざんは、攻撃者の目的により被害が異なる。

大きく分けて、単なるいたずら的メッセージや攻撃者の主義主張を現わすものと、改ざんサイトへのアクセスを通じて不正プログラムに感染するドライブバイダウンロード攻撃の2種類。前者はユーザーに直接的な被害を及ぼさないが、後者はサイトにアクセスしたユーザを自動的に他の不正サイトへ誘導し、不正サイト上に用意されている不正コードにより脆弱性攻撃などが行われ、最終的に不正プログラムに感染する恐ろしいもの。

ホームページ改ざんの被害と影響

今回のケース ホームページ上の表示がオリジナルとは異なるいたずら的メッセージや攻撃者の主義主張を表す内容に変更される。
ホームページ上の表示が変わるだけであり、サイトを閲覧したユーザに直接的な影響はないと考えられる。
悪質なケース 改ざんサイトへのアクセスを通じて不正プログラムに感染するドライブバイダウンロード攻撃。改ざんサイトにアクセスしたユーザは自動的に他の不正サイトへ誘導。
不正サイト上に用意されている不正コードにより脆弱性攻撃などが行われ、最終的に不正プログラムに感染してしまう。
影響 企業や団体が管理しているWEBサイトが改ざんされた場合、セキュリティ対策を怠っていたものとして、管理責任を問われたり、その企業や団体の評判が落ちることも想定される。

参考情報
@Police Web サイト改ざんに関する注意喚起について(PDF)ダウンロードはこちら>>
攻撃に備えてWebサイトの定期的な点検を」詳しくはこちら>>

まずはウェブサイトの安全確認から
セキュリティ対策のチェックポイント

安全なウェブサイトの構築と運用管理をするためには、以下の3つのセキュリティ対策が不可欠。「ウェブアプリケーションのセキュリティ対策」「ウェブアプリケーションが稼働しているウェブサーバのセキュリティ対策」「ウェブサーバが設置されているネットワーク(ルータやファイアウォール)のセキュリティ対策」。下記にウェブサイトのセキュリティ対策のチェックポイント16ヶ条を参考までにまとめた。社内のセキュリティ確認に活用していただき、対策が取られていない場合は早急に対応するか、セキュリティ業者に委託することをお勧めする。
チェックポイントによっては、セキュリティ専属の担当者を設けていないと不明な点もあると思うので、その場合はセキュリティ業者に相談することが望ましい。

ウェブサイトのセキュリティ対策16ヶ条

◆ウェブアプリケーションのセキュリティ対策
(1) 設定ファイルや個人情報など、公開すべきでないファイルを公開していないか?
(2) 不要なページやウェブサイトを公開していないか?
(3) ウェブサイトの脆弱性への対策は行っているか?
IPA 「安全なウェブサイトの作り方」参照ダウンロードはこちら>>
(4) ウェブアプリケーションを構築しているソフトウェアはアップデートされているか?
(5) 不要なエラーメッセージに返信していないか?
(6) ウェブアプリケーションのログを保管し、定期的に確認しているか?
◆ウェブサーバのセキュリティ対策
(7) OSやサーバソフトウェア、ミドルウェアはバージョンアップしているか?
(8) 不要なサービスやアプリケーションがインストールされていないか?
(9) 不要なアカウントが登録されていないか?
(10) 推測されにくい複雑なパスワードを使用しているか?
(11) ファイル、ディレクトリへの適切なアクセス制御を行っているか?
(12) ウェブサーバのログを保管し、定期的に確認しているか?
◆ネットワークのセキュリティ対策
(13) ルータ危機を使用して不要な通信を遮断しているか?
(14) ファイアウォールを使用して、適切に通信をフィルタリングしているか?
(15) ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断しているか?
(16) ネットワーク機器のログを保管し、定期的に確認しているか?

(引用元:IPA 「安全なウェブサイトの構築と運用管理に向けての16ヶ条)