ふだんは気にしていないが、耳にすると気になる「WEB改ざん」

WEB改ざん対策とはアクセス数も多くなく、個人情報が蓄積されているわけでもない、一般的なコーポレートサイトでも、狙われる可能性はあるのでしょうか？

結論から言えば、危険はあります。 性善説と性悪説があるように、ネットの世界にもそのような行動を起こす人たちがおり、WEBサイトの規模の大小にかかわらず機会を狙っているのが現実です。

しかし、これからお伝えする３つのポイントさえおさえておけば、休日に見たニュースがきっかけで急に不安になったりすることもなく、自社サイトの運用ができるようになるはずです。

WEB改ざんは、大企業のサイトだけで起こるものではない

トヨタをはじめとするセキュリティにシビアな巨大企業でさえも、WEB改ざんの被害に遭っています。巨大企業のWEBサイトに侵入できるハッカーがあなたの会社を狙わない理由があるでしょうか？

アクセスの多いサイトでウィルスを仕込み拡散をもくろむ、個人情報をごっそり引き出すために会員機能を持つサイトを狙う。確かに、どれもすぐ納得できる理由があります。

では、アクセスが少なく、重要な情報も格納されていない企業サイトを彼らが狙う理由は何なのでしょうか？

1. セキュリティが甘く、侵入が簡単だから
2. 長い間放置されることが多く、結果的に多くのユーザーに見られたり、ウィルスを多く拡散させられる可能性があるから。

WEB改ざんによって引き起こされる被害者は、あなたの会社だけではなく、訪問者も含まれていることを忘れてはなりません。ということは、その状態を長く放置するのは、訪問者から「加害者」と言われても仕方ないということでもあるのです。

WEBサイトのセキュリティに関する誤解

昨年だけでも、日本で約7,000件（JPCERTコーディネーションセンター調べ）のWEBサイト改ざん事件が起きています。これは、今からご紹介する「誤解」を疑わず、対策を打っていなかったことが少なからず影響しているのではないかと感じられるのです。

[誤解その１] アクセスが少ないサイトなど狙われない。

更新頻度が、1ヶ月に1度以下のサイトが逆に危ない。 なぜなら、社員の誰もが頻繁に自社サイトをチェックすることがないため、改ざんされたことに気づきません。

ウィルス感染など、被害に遭った訪問者から指摘を受けて初めて気づくのです。異常は、外部からの指摘で初めて分かることが多いものです。

[誤解その２] レンタルサーバー会社が改ざんを防止してくれる。

セキュリティレベルが非常に高いので、ハッキングによる改ざんも防いでくれる、保証もしてくれるだろう、というものがあります。 しかし、レンタルサーバー会社はあくまでスペース貸しをしているだけであって、セキュリティまで保証はしてくれません。

レンタルサーバーを利用するのは、賃貸マンションを借りているようなイメージです。管理会社が守ってくれているので、自分の部屋には空き巣は入らない、と考えているようなものです。

WEB改ざんを完璧に防ぐことはできないということを彼らは熟知しているので、保証はしません。約款にも明記されています。

参考データ「メジャーレンタルサーバー3社に質問。改ざんを防いでくれますか？」

[誤解その３] HTMLファイルさえチェックしておけば問題ない。

多くのレンタルサーバー会社が導入しているのが、HTMLファイルにウィルスが埋め込まれていないかをチェックする機能。しかし、これは万全な対策とは言えません。

ハッカーには自己顕示欲の強い愉快犯タイプも存在するのです。

彼らは、あなたの会社のWEBサイトを攻撃し、社長の顔写真がお笑いタレントに替えたあと、「２ちゃんねる」でスレッドを立てるに違いないでしょう。

HTMLファイルのウィルスチェックは、HTMLファイルにウィルスでよく使われるパターンが埋め込まれていないかだけをチェックするものです。

ですから社長の顔写真が替えられていても、製品紹介の価格が値下げされていても、この機能では改ざんを検知できないわけです。

WEB改ざんへの３つの対策

[レベル１] 防御のための基本を守る（まずはサーバーへのアクセス管理から）

サーバーへの侵入を許してしまい、WEB改ざんを引き起こす原因のひとつは、サーバーへのアクセス管理の甘さです。基本中の基本であるにもかかわわらず、意外にできていないことが多いにも事実で、もしあなたの管理しているWEBサイトのFTPパスワードが企業名であったり、３桁の数字なのであれば、即刻管理を見直すべきです。

断言してもいいかもしれません。パスワードを推測できない複雑なものにするだけで、相当数のハッキングは防ぐことができます。

【パスワード管理に関するポイント】

• 推測できないものに。
• 桁数を多くし、英数字を混在させる。大文字も混在させましょう。
• 定期的にパスワードを変更すれば、なお良いでしょう。
• 少し高度ですが、アクセスする際のIPアドレス制限をかける。
• その他、サーバーにアクセスする方法を洗い出し、そのすべてに上記の管理方法を徹底します。

[レベル２] 積極的に防御する方法を決め、外部サービスを利用する

万一の事態を考え、防御あるいは改ざんされたことを検知し、通知してくれるサービスを利用することも検討してください。

サービスの特色１：ウィルス検知

WEBサイトにあるHTMLファイルにウィルスが埋め込まれていれば通知するというもの。このサービスのメリットは、自社が加害者になる可能性を低くできるという点です。

ただし、監視するファイル数が制限されていたり、CMSなどの更新ツールで表示されるページがある場合には無意味だったりするので注意が必要です。

また、改ざんの検知をどのように行うかがポイントであり、精度が高かったのかどうかは、改ざんが起こってからでないと残念ながら判断できません。

ウィルスチェックによる改ざん判定は、あくまでそのサービスを信じるしかないこと、文言だけの改ざんだったり、社長の顔写真を替えるだけといった類の改ざん検知には向かないものもあります。

サービスの特色２：改ざん検知後の処理

改ざんを検知した後の対処方法でも特色があります。すぐにWEBサイトをシャットダウンしてしまうもの、安全なバックアップファイルですぐに復元してくれるもの。
ウィルスチェックだけでは足りない

総合的に判断すると、ウィルスチェックだけではない方法を採用しているサービスということになります。また、改ざん後の対応をどこまで任せるかによってサービスの選択は決まります。どの程度の安心を買うかで、支払うコストを決めるべきです。

改ざん検知の方法

• 公開サーバーにそれ以外の方法でアップロードされたファイルがあれば、改ざんとみなすもの。
• FTPする際に、特別なツールを利用し暗号をHTMLファイルに埋め込んでおくもの
• 公開前領域にファイルをアップロードするなどの方法をとるもの
• WEBサーバーのファイル情報を事前に保存しておき、チェックする前と後で・外部からウィルスが埋め込まれているかをチェックするもの
• 差異を探すもの

検知した場合の対処方法

• メールで通知
• WEBサイトをシャットダウン（メンテナンス画面に差し替え）
• バックアップファイルに差し替え

運用コスト

• 月額利用料金が発生（無料〜30,000円程度〜）
• 単独のシステム購入（200,000円〜）

[レベル３] 防御できなかった場合の対処方法も決めておく

前述したように、基本的なセキュリティ管理を行うだけで相当数の被害は防げるはずですが、もちろんこれで完璧というわけではありません。

被害に遭ってしまったときは腹をくくり、その後の対策を早急に打つことに全力を注ぐべきです。 具体的には、

• 早急にWEBサイトの復旧を図る、それが難しい場合にはWEBサイトをいったん閉鎖する。
• そのために必要な協力者（制作会社、情報システム担当者）を確保しておく。
• 復旧後にWEBサイト上で、改ざんがあった旨を告知し、訪問者への注意喚起を行う。
• しかるべき機関（JPCERT、警察庁など）に被害届を提出する。
• 検索エンジンやセキュリティソフト会社にウィルス拡散サイトとして認識されてしまった場合には、対策を済ませたあとで通知し、その認識を解いてもらう。

同時に、WEB制作会社のリテラシーもチェックしておくべきです。クライアントの緊急事態に対応できないような企業であれば、リスクマネジメント的には契約の見直しも検討すべきではないでしょうか。