「破産手続きを開始した」などの偽情報の改ざんについて
8月から9月にかけて、「破産手続きを開始した」などの偽情報を企業の公式Webサイトに掲載される、改ざん被害の報告が多く上がりました。このような偽情報を掲載されると、顧客、取引先、投資家、銀行、従業員などのステークホルダーに対する信頼が大きく揺るぎ、企業の信用を喪失します。信頼を取り戻すには多大な労力と時間がかかります。ここでは、改ざんの目的や、狙われるWebサイトと攻撃手口を元に対策についてご紹介します。
1.改ざんの目的は?
偽情報の改ざんの目的は多岐にわたりますが、主に改ざんしたWebサイトの企業の信用の失墜が考えられます。また、Webサイトとは直接関係のない特定の個人や団体などへの誹謗中傷や嫌がらせなどに利用されるケースもあります。今回多発した改ざんは主に後者で、個人への嫌がらせと行為の誇示が目的で、あくまで、手段の一つとして企業の公開Webサイトの改ざんが行われたと考えられます。被害や話題性が大きいほど嫌がらせと誇示の効果が大きくなるため、被害企業の信頼を揺るがす影響が生じました。
2.どのようなWebサイトが狙われるのか?
企業の信頼失墜を目的とした場合は、あらかじめ対象とする企業のWebサイトをターゲットとしセキュリティの弱点(脆弱性)をあらゆる方面から探します。今回のように、個人への誹謗中傷や嫌がらせを目的とするケースでは、あらかじめターゲットは特定せず、セキュリティ上の弱点(脆弱性)のあるWebサイトをインターネット上から探し出し、無差別に複数のWebサイトをターゲットとします。
3.どのような攻撃で改ざんされる?
特に攻撃の対象となりやすいケースが以下の2つです。
(1)管理画面が公開されている
昨今のWebサイトでは、WordPressなどのCMS(コンテンツマネジメントシステム)を利用するケースが多く、コンテンツ管理のために専用の管理画面を持っています。これらの管理画面はデフォルト設定で利用すると、特定のパス(フォルダ)名でインターネット上から誰でもアクセスできることが知られています。IDとPasswordを簡単なものや推測しやすいものに設定していればログインを繰り返し試行する事で認証を突破されてしまう可能性が高まります。管理画面を乗っ取られてしまうと、当然ながらコンテンツの書き換えは自由で、任意の改ざんを行える状態となり大変危険です。
(2)ソフトウェアの脆弱性がある
WordPress等のCMSはプラグインと呼ばれるソフトウェアを追加する事で、容易に機能追加を行えるため様々なプラグインが提供されております。非常に手軽で利便性が高い反面、脆弱性も多く発見されています。脆弱性の内容は様々ですが、認証を回避し管理画面を乗っ取れるものや、任意のコンテンツに更新できるものなどを悪用し改ざんを行います。人気のCMSは、利用者も多いため、攻撃者に標的にされる可能性が高まります。
4.Webサイトで対策するには?
以下に紹介する対策のいくつかを行う事で、多くの攻撃を防ぐことが出来ます。攻撃者としては無差別にターゲットを見つけようとしているため、別のターゲットを探したほうが効率的です。
(1)管理画面への攻撃の対策
・アカウントの棚卸とパスワード見直し
不要なアカウントは廃止し、必要なアカウントのID/Passwordを強固なものに見直します。直ぐに実行できますが、これだけで攻撃対象から外れるものでは無いので以下も併せて対策が必要です。
・デフォルトのログインURL(パス)を任意のパスに変更
攻撃者がターゲットを探す際に見つかりにくくなる。
・IPによる管理画面へのアクセス制限
例えば、会社のIPのみアクセス許可するとセキュリティは強固ですが、運用上許容できない場合が多いです。
・ログイン失敗回数の制限
ログインの試行回数が制限されるため攻撃が成立しづらくなります。
・二段階認証の導入
ワンタイムパスワード、画像認証、秘密の質問など認証を強化する事で、ログインの手順が増え攻撃の自動化が成立しなくなります。また、Form認証の画面にベーシック認証などを追加することでも、同様の攻撃抑止の効果が期待されます。
(2)ソフトウェアの脆弱性への攻撃の対策
・使用していないプラグインの削除
インストールはされているが利用していないプラグインの脆弱性も攻撃の対象になります。
・最新版にアップデート
CMS本体のソフトウェアやプラグインを最新版にアップデートします。アップデートは随時リリースされるので、自動アップデート機能などを活用します。ただし、アップデート後に正常動作しなくなる恐れもあるため、サイトの重要性に応じて手動アップデートも併用します。アップデート情報を確認し、リリース情報を漏らさない運用をする必要があります。
5.その他注意すべきポイント
(1)攻撃者目線でのリスクの把握
上記のWebサイト側で行う設定は、Web担当者が各々実施する必要があり、個々のスキルや、担当者の変更、運用の引継ぎなどで漏れてしまう可能性もあります。特に、複数のWebサイトを管理する組織では、各々の担当者任せとなり適切に設定されているか確認するのは負担の大きな作業です。攻撃者の目線からターゲットに成り得るかという視点でリスクを把握し、リスクの高いWebサイトから優先的に対策することで効率的に対策が行えます。
(2)万が一の備え
Webサイトへの攻撃に限らず標的型攻撃などで、知らない間に正規の管理IDやPasswordが漏洩してしまっているケースがあります。このような場合、上記対策では改ざんされる可能性があります。あらゆる事態を想定し対策を行いますが、インターネットに接続している以上完璧な対策というものは無く、万が一改ざんされた場合でも、早急に気付きステークホルダーなどの目に触れる前にサイトを一時閉鎖するなど、被害を最小限に抑える考え方も重要です。
セキュアブレインの提供する、「GRED Webセキュリティ診断 Cloud」では、インターネット経由で攻撃者目線の脆弱性の点検が行えます。自動で定期的に点検を実施できますので、運用中のリスクの変化をアラート通知することで早期の対策を支援します。
「GRED Web改ざんチェック Cloud」では、Web改ざん被害を常時監視し改ざんを検知するとアラートを発報し、早期に気付き被害を最小限に抑えることが出来ます。「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」には無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。
■「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html
脆弱性診断 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/
■「GRED Web改ざんチェック Cloud」詳細ページ
https://www.securebrain.co.jp/products/gred/index.html
改ざんチェック無料トライアルはこちら
https://www.securebrain.co.jp/products/gred/trial/index.html