- OSやソフトウェア(CMSやその拡張機能を含む)の脆弱性対策を実施
- 認証画面を突破されないための対策を実施
- Webサイトの管理用端末からの認証情報の漏洩対策を実施
- Webサイトへの攻撃対策や改ざんに気付く仕組みの導入
これらができていない中小企業は、「Webサイト改ざん」の被害を受けてしまうかもしれません。この記事では、実際に中小企業に起きた情報セキュリティ問題を取り上げ、対策の考え方を紹介します。
1 WAF(Web Application Firewall)とは
WAF(Web Application Firewall)とは、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を狙ったサイバー攻撃からWebサーバを保護するセキュリティ対策システムです。Webサーバと外部ネットワークとの間に設置することでWebサーバへの通信を監視し、通信が攻撃であると判断した場合はブロックします。WAFを導入することで、今回のテーマであるWebサイトへの攻撃対策などにつながります。
2 知らぬ間に起きた「Webサイト改ざん」
税理士事務所「XYZ税理士法人」(仮名)。税理士2名と事務員5名の税理士法人です。2年程前にクライアントでもあるWeb制作会社に依頼して、WordPressという無料のCMS(コンテンツマネジメントシステム)を利用したWebサイトを構築し、事務員が記事等の更新作業を行っています。
ある日、Google社からXYZ税理士法人の代表社員A氏のもとに「ハッキングされたコンテンツが https://○○○○.com/ で検出されました」というメールが届きました。A氏 は何事かと思いつつWebサイトを確認しようとインターネットで検索したところ、検索結果のリンクに「このサイトは第三者によってハッキングされている可能性があります」との警告文が掲載されていました。
A氏は慌てて、更新作業を任せていた事務員に確認したものの対処方法が分からず、Web制作会社の担当B氏に相談しました。しかし、B氏も対処は専門家にお願いした方がよいとの回答のため、サイバーセキュリティの専門家であるC氏に調査を依頼することとなりました。
C氏は、WebサーバのログやCMSのphpファイル等を解析し、その結果をXYZ税理士法人の代表社員に報告しました。
「今回の調査結果から、御法人は『Webサイト改ざん』の被害に遭っていたことが分かりました。Webサイトが改ざんされると、Webサイトが書き換えられてしまうだけでなく、訪問者がマルウェアに感染したり、悪意のあるWebサイトに誘導されたりもします。
今回はCMSのアップデートを怠っていたため、その脆弱性(セキュリティホール)を突かれ、Webサイトを訪れた人を、悪意のあるWebサイトに誘導するコードが埋め込まれていました。御法人は被害者ですが、そのままでは加害者にもなりかねない状態でした。問題のコードは修正対応ができましたが、再発防止に向けて、速やかにセキュリティ対策を見直しましょう」
3 OSやソフトウェア(CMSやその拡張機能を含む)の脆弱性対策を実施
OSやソフトウェアの脆弱性情報が公開されると、攻撃者はその情報を悪用し、脆弱性を狙った攻撃を仕掛けてきます。従って、できるだけ早く脆弱性対策が施された最新のOSやソフトウェアにアップデートするようにしましょう。また、利用していないCMSの拡張機能等があれば削除することで、その脆弱性を狙った攻撃を回避することができます。一度見直してみましょう。
4 認証画面を突破されないための対策を実施
CMSの管理画面にログインするためには、認証画面でユーザIDとパスワードを入力する必要があります。しかし、ユーザIDやパスワードが安易なものであると、推測や総当り攻撃等で管理画面にログインされてしまう可能性があります。「root」「Administrator」「admin」など、ありがちなユーザIDを使用するのは危険です。また、パスワードは、できるだけ長く、複雑で、使い回しではないものを使用するようにしましょう。
そもそもCMSの認証画面に誰でもアクセスできることが問題です。認証画面のURLをデフォルト設定から変更するとともに、IPアドレスによるアクセス制限をかけるようにしましょう。また、認証画面に二要素認証を設定するCMSの拡張機能もあるので導入を検討しましょう。
5 Webサイトの管理用端末からの認証情報の漏洩対策を実施
Webサイトを管理する正当な権限を奪われると、容易に改ざんされてしまいます。従って、コンテンツをアップロードするためのFTPやCMSのユーザIDとパスワードは厳重に管理するようにしましょう。
Webサイトの管理用端末に対する攻撃でユーザIDとパスワードが窃取される可能性があります。ウイルス対策ソフトの導入や、OSやソフトウェアの脆弱性対策は怠らないようにしましょう。また、その端末を使用する担当者がフィッシングサイト(偽の認証画面)に騙されてユーザIDとパスワードを入力してしまうことのないように注意させましょう。
6 Webサイトへの攻撃対策や改ざんに気付く仕組みの導入
OSやソフトウェアをアップデートすると、CMSやその拡張機能が正常に動作しなくなる場合があります。また、利用しているサーバの契約によっては、Webサイトの管理者自身でアップデートできない場合があります。そのような場合はWAFを導入することで攻撃を防ぐことができます。WAFは、Webサイトへの不正な通信を検知したり、許可していない通信を遮断したりします。また、攻撃の兆候があればアラートして知らせてくれるため、攻撃に早期に気付くことができます。御法人が利用しているレンタルサーバにはWAF機能が有償オプションとして提供されているので、導入を検討しましょう。加えて、Webサイトの改ざん検知を行うCMSの拡張機能等も導入を検討しましょう。
C氏は、一通りの対策を説明した後、まとめの言葉で締めくくった。
「Webサイトもパソコンと同様に脆弱性対策やパスワード管理等の基本的なセキュリティ対策を実施すれば被害に遭う確率を大幅に低減することが可能です。ただし、Webサイトの改ざん対策は、一度実施したから終わりというわけではありません。新たな攻撃手法が見つかる可能性がありますので、定期的に対策の見直しを行うようにしましょう」
次回は、Webサービス妨害攻撃と対策について解説します。
以上
(監修 エドコンサルティング株式会社 代表取締役 江島将和)
※上記内容は、本文中に特別な断りがない限り、2018年1月31日時点のものであり、将来変更される可能性があります。
※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。
【電子メールでのお問い合わせ先】
inquiry01@jim.jp
(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)
ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。