2014年7月17日(木)
WEB改ざん対策とはアクセス数も多くなく、個人情報が蓄積されているわけでもない、一般的なコーポレートサイトでも、狙われる可能性はあるのでしょうか?
結論から言えば、危険はあります。 性善説と性悪説があるように、ネットの世界にもそのような行動を起こす人たちがおり、WEBサイトの規模の大小にかかわらず機会を狙っているのが現実です。
しかし、これからお伝えする3つのポイントさえおさえておけば、休日に見たニュースがきっかけで急に不安になったりすることもなく、自社サイトの運用ができるようになるはずです。
トヨタをはじめとするセキュリティにシビアな巨大企業でさえも、WEB改ざんの被害に遭っています。巨大企業のWEBサイトに侵入できるハッカーがあなたの会社を狙わない理由があるでしょうか?
アクセスの多いサイトでウィルスを仕込み拡散をもくろむ、個人情報をごっそり引き出すために会員機能を持つサイトを狙う。確かに、どれもすぐ納得できる理由があります。
では、アクセスが少なく、重要な情報も格納されていない企業サイトを彼らが狙う理由は何なのでしょうか?
WEB改ざんによって引き起こされる被害者は、あなたの会社だけではなく、訪問者も含まれていることを忘れてはなりません。ということは、その状態を長く放置するのは、訪問者から「加害者」と言われても仕方ないということでもあるのです。
昨年だけでも、日本で約7,000件(JPCERTコーディネーションセンター調べ)のWEBサイト改ざん事件が起きています。これは、今からご紹介する「誤解」を疑わず、対策を打っていなかったことが少なからず影響しているのではないかと感じられるのです。
更新頻度が、1ヶ月に1度以下のサイトが逆に危ない。 なぜなら、社員の誰もが頻繁に自社サイトをチェックすることがないため、改ざんされたことに気づきません。
ウィルス感染など、被害に遭った訪問者から指摘を受けて初めて気づくのです。異常は、外部からの指摘で初めて分かることが多いものです。
セキュリティレベルが非常に高いので、ハッキングによる改ざんも防いでくれる、保証もしてくれるだろう、というものがあります。 しかし、レンタルサーバー会社はあくまでスペース貸しをしているだけであって、セキュリティまで保証はしてくれません。
レンタルサーバーを利用するのは、賃貸マンションを借りているようなイメージです。管理会社が守ってくれているので、自分の部屋には空き巣は入らない、と考えているようなものです。
WEB改ざんを完璧に防ぐことはできないということを彼らは熟知しているので、保証はしません。約款にも明記されています。
参考データ「メジャーレンタルサーバー3社に質問。改ざんを防いでくれますか?」
多くのレンタルサーバー会社が導入しているのが、HTMLファイルにウィルスが埋め込まれていないかをチェックする機能。しかし、これは万全な対策とは言えません。
ハッカーには自己顕示欲の強い愉快犯タイプも存在するのです。
彼らは、あなたの会社のWEBサイトを攻撃し、社長の顔写真がお笑いタレントに替えたあと、「2ちゃんねる」でスレッドを立てるに違いないでしょう。
HTMLファイルのウィルスチェックは、HTMLファイルにウィルスでよく使われるパターンが埋め込まれていないかだけをチェックするものです。
ですから社長の顔写真が替えられていても、製品紹介の価格が値下げされていても、この機能では改ざんを検知できないわけです。
サーバーへの侵入を許してしまい、WEB改ざんを引き起こす原因のひとつは、サーバーへのアクセス管理の甘さです。基本中の基本であるにもかかわわらず、意外にできていないことが多いにも事実で、もしあなたの管理しているWEBサイトのFTPパスワードが企業名であったり、3桁の数字なのであれば、即刻管理を見直すべきです。
断言してもいいかもしれません。パスワードを推測できない複雑なものにするだけで、相当数のハッキングは防ぐことができます。
万一の事態を考え、防御あるいは改ざんされたことを検知し、通知してくれるサービスを利用することも検討してください。
WEBサイトにあるHTMLファイルにウィルスが埋め込まれていれば通知するというもの。このサービスのメリットは、自社が加害者になる可能性を低くできるという点です。
ただし、監視するファイル数が制限されていたり、CMSなどの更新ツールで表示されるページがある場合には無意味だったりするので注意が必要です。
また、改ざんの検知をどのように行うかがポイントであり、精度が高かったのかどうかは、改ざんが起こってからでないと残念ながら判断できません。
ウィルスチェックによる改ざん判定は、あくまでそのサービスを信じるしかないこと、文言だけの改ざんだったり、社長の顔写真を替えるだけといった類の改ざん検知には向かないものもあります。
改ざんを検知した後の対処方法でも特色があります。すぐにWEBサイトをシャットダウンしてしまうもの、安全なバックアップファイルですぐに復元してくれるもの。
ウィルスチェックだけでは足りない
総合的に判断すると、ウィルスチェックだけではない方法を採用しているサービスということになります。また、改ざん後の対応をどこまで任せるかによってサービスの選択は決まります。どの程度の安心を買うかで、支払うコストを決めるべきです。
改ざん検知の方法
検知した場合の対処方法
運用コスト
前述したように、基本的なセキュリティ管理を行うだけで相当数の被害は防げるはずですが、もちろんこれで完璧というわけではありません。
被害に遭ってしまったときは腹をくくり、その後の対策を早急に打つことに全力を注ぐべきです。 具体的には、
同時に、WEB制作会社のリテラシーもチェックしておくべきです。クライアントの緊急事態に対応できないような企業であれば、リスクマネジメント的には契約の見直しも検討すべきではないでしょうか。