Web改ざんの検出方法の違いについて
Webサイトの改ざんを検出する方法は、一般的に、改ざんの前後でコンテンツファイルの差分をチェックする「差分検知」と、改ざんされたコンテンツに含まれる特徴的な動作(振舞い)の有無をチェックする「振舞い検知」があります。これらにはそれぞれ、メリット・デメリットがあります。
差分検知
コンテンツファイルの差分をチェックするため、一言一句細かい違いまで検出することができます。 一方で、検出された差分が、正規のコンテンツ更新なのか、改ざんなのかを区別しないため、コンテンツ更新の際はチェックを止めるか、検知アラートを無視するといった運用、もしくは、コンテンツ更新と連携するシステムが必要になります。これらの運用やシステムは、コンテンツの更新頻度やコンテンツ量により運用負担や、システム規模は大きくなります。
振舞い検知
実際に改ざん被害を受けたWebサイトの特徴が含まれるかをチェックするため、改ざんのみを検出できます。コンテンツ更新に合わせた運用や連携システムは必要ないため、コンテンツの更新頻度やコンテンツ量により負担が増える事は有りません。
一方で、一般的な改ざんに含まれる特徴的な動作を含まない、文言の一部変更や追加等は改ざんとして検出されない場合もあります。また、検出率は、検知エンジンの性能に依存するため、最新の改ざん情報の収集・分析を継続し検知エンジンの性能を維持する必要があります。
GRED Web改ざんチェック Cloudでは、セキュリティ専業ベンダとしてのノウハウを生かし、独自の検知エンジンによる振舞い検知型の検出方法を採用しています。 Web改ざんシステムの導入においては、検知方法の違いによるメリット・デメリットを踏まえて頂き、Webサイトの特性に合わせた方法をご検討ください。
GRED Web改ざんチェック Cloud紹介ページ
https://www.securebrain.co.jp/products/gred/index.html
GRED Web改ざんチェック Cloudトライアルお申込み
https://www.securebrain.co.jp/products/gred/trial/index.html