計測器・測定器・パソコン等IT機器のレンタル、
リース、中古機器販売、校正受託ならお任せください

玉手箱

【セキュリティ:その4】Webサイト改ざんの方法とその対策

水飲み場型攻撃とは?

 水飲み場型攻撃の概念を説明します。(図1)

 攻撃者はまず、標的となる組織がよく利用するWebサイトを何らかの方法で改ざんし、マルウェアを仕込みます。
 改ざんされたWebサイトを、「水飲み場」と呼びます。これは、一見安全に見えるサバンナの水飲み場の陰で猛獣(マルウェア)が待ち構えている様子になぞらえています。

 標的となった組織は、「水飲み場」となったWebサイトをいつものように利用しますが、改ざんが密かに行われているため気がつかず、仕掛けられたリンクやバナーをクリックして、マルウェアに感染してしまいます。
 攻撃者は、感染したPCにアクセスして遠隔操作し、その組織内のサーバに侵入します。そして、情報を窃取または破壊することに成功します。
 自組織のWebサイトが改ざんされて「水飲み場」にされることは、自組織の信頼を失墜させることにつながりますから、どの組織もWebサイトが改ざんされないように十分な対策を実施することが必要です。

Webサイトを改ざんする4つの方法

 では、どのようにしてWebサイトを改ざんするのでしょうか?

IPA(注1)によれば、Webサイト改ざんの手口は大きく4つに分類されます(表1)。

表1.Webサイト改ざんの手口

手口の分類攻撃先攻撃元対策
A・管理用パソコン
・組織外管理用ポート(*1)
・Webサイト運営者・システム管理者
組織外・管理用パソコンへのウイルス感染
・ウイルスで窃取したアカウント情報で組織外管理用ポートから不正アクセス
B・Webサイトが使用しているソフトウェア組織外・Exploitコードを悪用してソフトウェアの脆弱性を突く
C・Webサイト毎に独自開発されたWebアプリケーション組織外・攻撃ツール等を使用し、独自に開発されたWebアプリケーションの脆弱性を突く
D・組織内管理用ポート(*2)組織内・ソーシャルエンジニアリングなどにより管理者アカウントを窃取
・アクセス制御の不備を突く

(*1)組織外(インターネット)からウェブサイトの管理システムにアクセスするための入り口
(*2)組織内からウェブサイトの管理システムにアクセスするための入り口

※参考資料1の表1.2.1を転載

 Aは、改ざんしようとするWebサイトの管理用パソコンにマルウェアを感染させるなどして、ID・パスワードといったアカウント情報を窃取し、不正にWebサーバにログインして改ざんを行う手口です。

 Bは、改ざんしようとするWebサイトが使用しているソフトウェアの脆弱性を突いた攻撃です。
 表1にある「Exploitコード」とは、ソフトウェアの脆弱性を利用して不正な動作が起きる様子を再現するプログラムで、「脆弱性実証コード」ともいいます。
 脆弱性が修正されたかどうかを確認するための検査用のコードであり、これ自体はマルウェアではありません。しかし、これを元に少し修正を加えると簡単に悪意のあるコードに変更できるため、サイバー攻撃者に狙われがちです。
 Movable TypeやWordPressなどWebコンテンツの作成および管理用に利用されるCMS(Contents Management System)は、Webサーバにインストールされており、またオープンソースであるものが多いため、これらのExploitコードがよく狙われます。

 Cは、改ざんしようとするWebサイトで開発・導入されたWebアプリケーションの脆弱性を突いた攻撃です。有名な手口としては、SQLインジェクションとXSS(クロスサイトスクリプティング)があります。
 SQLインジェクションとは、入力フィールドにSQLが入力されたときに、そのまま実行されるようになっている脆弱性を利用して、IDやパスワードを窃取するなどの攻撃です。
 XSSとは、入力フィールドにHTMLタグやJavaスクリプトを入力すると、そのままHTMLソースに埋め込まれてしまう脆弱性を利用して、クッキーやID、パスワードなどを窃取する攻撃です。

 Dは、組織内に所属または侵入した人間が、IDやパスワードが書かれた紙を盗み見たり聞き出したり(ソーシャルエンジニアリング)、あるいはアクセス制御の不備を突いて不正アクセスしたりすることで、Webサイトを改ざんする手口です。

(注1)独立行政法人 情報処理推進機構。日本のソフトウェア分野における競争力の総合的な強化を意図して、IT国家戦略を技術面、人材面から支えるために設立された経済産業省所管の独立行政法人。

全般的な対策

 これらの手口に対しては、組織一体となって全般的な対策を講じることが大切です。

 まず経営者層は、セキュリティ基本方針を策定し、社員全体に周知徹底させることが必要です。
 また、セキュリティ管理体制を整備し、手順書や判断基準などを整備します。
 さらに、セキュリティ対策のための予算を確保する必要があります。セキュリティ対策は、売上や利益などを生み出すものではないため、現場からは予算を申請しにくいという面があります。そのため、経営者側から予算を確保するように指示しなければなりません。

 次に、Webサイトの構築・運用の各工程で、それぞれの責任者・担当者が対策を実施する必要があります。

 まず要件定義工程では、システム管理者が中心となって、セキュリティ要件を決定します。
 構築・開発工程では、アプリケーション開発者がセキュリティを考慮した設計・コーディング・テストを実施します。
 運用工程では、セキュリティパッチの充当やソフトウェアを最新に保つことを怠らないことが必要です。

 また、ペネトレーションテストといわれる、既に知られている侵入手口を使って本当に安全かどうかを確かめるテストによる検証も重要です。

 以下では、手口パターンごとの対策を見て行きましょう。

手口Aの対策

 改ざんしようとするWebサイトの管理用パソコンからアカウント情報を窃取する手口に対しては、以下の対策が必要です。

 まず、管理用パソコンのセキュリティ対策として、セキュリティパッチの充当やウイルス対策ソフトの導入および最新状態の保持を徹底します。

 さらに、ファイアウォールでWebサーバにアクセスできるIPアドレスを制限するのはもちろん、認証を2段階にしたり、強度の高いパスワード(例:ワンタイムパスワード)を採用したりすることが必要です。

 外部からのアクセスにはVPN(注2)を利用するなど、ネットワークの安全性を高めることも重要です。

 それでも管理者アカウントが乗っ取られることを完全には防げませんので、管理者アカウントの不正操作を常に監視する必要があります。

(注2)Virtual Private Network。インターネットに仮想的な通信トンネルを構成した、安全性の高いプライベートなネットワーク。

手口Bの対策

 CMSなどWebサーバで使用しているソフトウェアの脆弱性を突いた攻撃に対しては、以下の対策が必要です。

 まず使用しているソフトウェアの修正パッチや最新版をできるだけ速やかに適用することです。これはCMSなどのユーザーが操作するアプリケーションだけでなく、TCP/IP関係のソフトウェアなども最新にしておく必要があります。

 またWebサイトのアクセスログを管理し、サイトへの侵入を早期に検知することも必要です。
 さらにサイトのコンテンツを定期的にチェックして、改ざん自体の早期検知に努める必要があります。

 WAF(注3)を導入して、Webアプリケーションに特化した攻撃からWebアプリケーションを防御することも大切です(CMSなどはWebアプリケーションでもあるため)。

(注3)Web Application Firewall。従来型のファイアウォールやIPS(Intrusion Prevention System、侵入防止システム)では守ることができない攻撃からWebアプリケーションを防御するシステム

手口Cの対策

 独自に開発したWeb アプリケーションに存在する脆弱性を突く攻撃に対しては、以下の対策が必要です。

 SQLインジェクションやXSSは、SQLやHTMLタグを入力できなくしたり、単なる文字列として処理(「エスケープする」といいます)したりすれば対応できます。
そのようなセキュアな開発をするために、開発標準を整備し、利用できる開発ライブラリをセキュアなものに制限します。
また、ソースコード診断や脆弱性診断テストなど、テスト工程での脆弱性対策も徹底します。

 Webサイトへの侵入の早期検知、改ざんの早期検知、WAFの導入などについては、手口Bへの対策と同様です。

手口Dの対策

 組織内部からの不正アクセスに対しては、以下の対策が必要です。

 まずWebサイトのアカウントを適切に管理します。
パスワードの強化については手口Aで述べたものと同様です。
 アカウントの登録・変更・削除の承認のワークフローを作成することも重要です。特に不要なアカウントはすぐに削除する必要があります。
 アカウント権限の付与は、職責によって必要最小限にとどめるようにします。また管理権限はごく限られた少数の人にのみ付与します。

 組織内部からの攻撃になりますので、社内教育や周知徹底も対策として重要です。
 不正アクセスの中には故意でないものもありますので、ルール違反になる行為や禁止行為を周知徹底することが必要です。特に大きなアクセス権限を持つシステム管理者やWebサイト運営者に対する教育は欠かせません。
 また、誰がどのような操作をしているか常に監視できるようにし、監視していることを組織内に周知することが、不正アクセスへの抑止策となります。

対策のまとめ

 Webサイトの改ざんへの対策を表2にまとめました。

手口の分類手口の概略対策
全般-・セキュリティ基本方針の策定と周知徹底
・セキュリティ管理体制の整備
・手順書、判断基準の整備
・(経営者による)予算確保
・構築・運用の各工程別の対策
・ペネトレーションテストの実施
AWebサイトの管理アカウ
ント情報の窃取
・セキュリティパッチの充当
・ウイルス対策ソフトの導入と最新状態の保持
・アクセス可能なIPアドレスの制限
・2段階認証や強度の高いパスワードの採用
・VPN利用などネットワークの安全性強化
・管理アカウントの不正操作の常時監視
BWebサーバーに導入して
いるソフトウェアの脆弱性
を悪用
・導入ソフトのセキュリティパッチ適用または最新版利用
・アクセスログの管理による侵入の早期検知
・コンテンツの定期チェックによる改ざんの早期検知
・WAFの活用
C独自開発のWebアプリケー
ションの脆弱性を悪用
・セキュアな開発のための標準およびライブラリ整備
・テスト工程での脆弱性検出の徹底
・侵入、改ざんの早期検知、WAFの活用(B対策と同じ)
D組織内部からの不正アクセス・Webサイトのアカウントの適切な管理(A対策を参照)
・ルール違反や禁止行為の周知徹底(特に管理者教育)
・操作監視と監視実施の組織内への周知(抑止策として)

表2.Webサイト改ざんへの対策

 セキュリティ方針・体制・手順書作成・教育などの人的な対策が重要なことはもちろんですが、WAF・監視ツール・ソフトウェア配信ツール(セキュリティパッチの適用・最新版の配布で利用)など、ハードウェアやソフトウェアによる対策も同じように重要です。

 オリックス・レンテックでは、セキュリティ製品もレンタルしています。


参考資料
1:IPAテクニカルウォッチ 「ウェブサイト改ざんの脅威と対策 ~ 企業の信頼を守るために求められること ~」

ページトップへ