コラム
2023-09-21
これから始めるWeb改ざん検知の基本と具体的な対策
いまや、Webサイトは、企業にとって、顧客向けの広報活動はもちろんのこと、さまざまなサービス提供を行う窓口ともなり、その重要性はますます高まっています。しかしながら、Webサイトのオープン性は、誰もが容易にアクセスできるという一面から、悪意のある第三者からのネットワーク越しの攻撃や内容の改ざんのリスクを抱えています。
そこで本記事では、Web改ざんにはどのような手口があるのか、攻撃を受けるとどのような影響があるのかに加えて、具体的な対策方法についてお伝えします。
Web改ざんとは
はじめに、Web改ざんの代表的な手口とその内容、Web改ざんが発生した場合の影響について説明します。
Web改ざんの主な手口
Web改ざんの主な手口として以下が挙げられます。
- OSやソフトウェアの脆弱性を突いた改ざん
- Webアプリケーションの脆弱性を突いた改ざん
- アカウントの不正使用による改ざん
- アクセス制御の不備を突いた改ざん
脆弱性を突いた改ざん
脆弱性とは、プログラムの不具合や設計上のミスに起因する「欠陥」のことであり、セキュリティホールとも呼ばれます。OSやソフトウェアの脆弱性は修正プログラムを適用し、Webアプリケーションの脆弱性はプログラムの修正を行いますが、それでも完全になくすことは難しく、Web改ざんをはじめとする脆弱性を突いたサイバー攻撃による被害は後を絶ちません。
Webアプリケーションの脆弱性を突いた攻撃の代表例は「クロスサイト・スクリプティング」と「SQLインジェクション」です。クロスサイト・スクリプティングは、標的となったWebサイトの利用時に不正なスクリプトを実行する攻撃手法です。この攻撃手法によって、Webサイトの利用者は偽のサイトに誘導され、ID・パスワード・クレジットカード番号・クッキー情報などが盗まれる、またマルウェアに感染する可能性があります。SQLインジェクションは、Webサーバ経由でのデータベース接続を利用した攻撃方法で、個人情報を不正に盗まれたり、Webページにウィルスを埋め込まれる恐れがあります。
アカウントの不正使用やアクセス制御の不備を突いた改ざん
次に、アカウントの不正使用によるWeb改ざんです。アカウントの不正使用には、何らかの方法で外部の攻撃者に窃取されたアカウント情報が使われる場合や、組織内の悪意のある人物による正規アカウント情報が使われる場合があります。
ID・パスワードの使いまわし、標的型攻撃メールの文面内に記された不正なリンクのクリック、フィッシング詐欺メールに記された不正なリンクなどにより、アカウント情報を盗まれ、Web改ざんに悪用されることがあります。
また、アクセス制御の不備を突かれるWeb改ざんもあります。システム内に存在するWebサイト上では非公開の情報を取り扱う場合や、会員サイトなどで利用者本人にのみデータの変更や編集を許可する場合には、データへのアクセス制御機能の実装が必要です。適切なアクセス制御が実装されていなかった場合、例えば管理者権限を持たない社内の第三者が、不正な方法で管理者権限にアクセスして改ざんを行うことも想定されるからです。
Web改ざんによるリスクと影響
Web改ざんの影響範囲は、その企業やサービスに関する情報が虚偽の内容に置き換えられるというような、目に見える情報の改ざんだけでなく、Webブラウザ上で実行されるクロスサイト・スクリプティングのような改ざんにも及びます。
冒頭で述べたように、現在のWebサイトはその企業にとっての「顔」とも言える存在です。このためWebサイトを改ざんされてしまうと、企業やブランドの信頼低下や、ビジネス機会の損失など、深刻なダメージを被ることになります。Web改ざんは企業にとって重大な脅威であり、万一の発生時にはできるだけ早く適切な対策が求められます。
Web改ざんの検知と監視方法
Web改ざんの検知は、2種類の監視方法と2種類の監視タイミング、そして4種類の検知方法があります。
内部監視と外部監視
Web改ざんを検知するための監視方法として、「内部監視」と「外部監視」があります。内部監視は、監視対象のサーバやクラウドインスタンスにエージェントと呼ぶプログラムをインストールし、システム内部から改ざんを監視する方法です。
外部監視は、インターネット経由でシステム外からサイトの改ざんを直接チェックする方法です。外部監視はエージェントのインストールは不要なため、手軽に導入できるという利点がありますが、監視対象は公開されている範囲のみとなる点は注意が必要です。
定期監視と常時監視
Webサイトの監視のタイミングは、定期的に改ざんの有無を確認する「定期監視」と、常に改ざんがあったかを確認する「常時監視」の2種類に分類できます。常時監視は改ざんから検知までのタイムラグが短いものの、定期監視に比べてサーバにかかる負荷が高くなることが予想されます。
Web改ざん検知の手法
Web改ざんを検知する手法には大きく4つあります。
パターンマッチ型(ソース解析型)
これまでに明らかになっているWeb改ざんの事例をベースにして、あらかじめ登録したパターンファイルを基に、パターンに合致するソースの有無をチェックする手法です。監視対象のURLを登録する外部監視によって検知が可能な「GRED Web改ざんチェック Cloud」は、この手法を用いてWeb改ざんを検知しています。
振る舞い分析型
仮想PCのWebブラウザを使って対象のWebサイトにアクセスしてその動作(振る舞い)をチェックし、異常があった場合は改ざんとして検知します。クラウド上のAI分析エンジンなどを用いた外部監視型が一般的です。
ハッシュリスト比較型
Webサーバ上に置かれている各種ファイルを対象に定期的にそのハッシュ値(元データから特定のアルゴリズムによって生成される不規則かつユニークな文字列)を計算し、元のハッシュ値から変化があった場合に、ファイル変更を検出する手法です。エージェントのインストールが必要な内部監視による検知方法で、「WebARGUS」はこの手法を用いた代表的なWeb改ざん検知ツールです。WebARGUSはOSのイベントログを監視し、ファイルの追加・変更・削除が行われたタイミングで改ざんをチェックします。
原本比較型
あらかじめWebサーバ上の監視対象のファイルを原本(オリジナル)として監視用サーバに保存しておき、定期的にWebサーバのファイルとの違いがないかを内部監視によって比較することで改ざんの有無を判定します。Webサイトの内容を更新した際には、原本ファイル側も差し替えることで、更新が改ざんと誤認されるのを防ぐ必要があります。
Web改ざんの検知・監視方法の比較
| 内部監視 | 外部監視 | |
|---|---|---|
| メリット | 非公開ファイルも監視対象に含められる。 | エージェントのインストールは不要。 |
| デメリット | エージェントのインストールが必要。 | 監視対象は公開されている範囲のみ。 |
| 監視タイミング | ・定期監視 ・常時監視 |
・定期監視 |
| 検知方法 | ・ハッシュリスト比較型 ・原本比較型 |
・パターンマッチ型 ・振る舞い分析型 |
Web改ざん対策のポイントとツールの選び方
Web改ざん対策の基本は、OSやソフトウェアの修正プログラムを迅速に適用し、Webアプリケーションの脆弱性診断などで発見された脆弱性に対処することです。しかしながら、サイバー攻撃の手法はますます高度化・複雑化しており、新たに発見されたものの、まだ修正プログラムが提供されていない脆弱性を突いた攻撃手法である「ゼロデイ攻撃」が猛威を振るっています。
ファイアウォールやIDS(不正侵入検知システム)、IPS(不正侵入防御システム)、WAF(Webアプリケーションファイアウォール)といった従来からあるWebサイトの防御ソリューションの多くは、すでに手口が明らかになっている既知の攻撃に対処するためのものであるため、未知の脆弱性を突く攻撃であるゼロデイ攻撃によるWeb改ざんを防御するのは困難です。未知の攻撃に備え、次のような対策をとることも重要です。
組織のセキュリティポリシーと教育
当然ながらセキュリティ対策ツールの活用以前に、従業員へのセキュリティ教育が重要であることは言うまでもありません。例えば、セキュリティに関する知識の不十分な従業員が自社のWebサイトを運用してしまえば、その行為自体、その企業の深刻な脆弱性を招いてしまう恐れがあるのです。
従業員のセキュリティ教育も含めて、企業におけるセキュリティ対策に対する考え方や方針をまとめたものがセキュリティポリシーです。日頃からWeb改ざんをはじめとしたサイバー攻撃を防ぐのはもちろんのこと、もしも攻撃を受けた場合には迅速かつ適切に対応し被害を最小限に抑えるためにも、全社統一の指針となるセキュリティポリシーの策定は欠かせません。
Web改ざん対策ツールの選び方
最近のWebサイトの改ざん攻撃は非常に巧妙に細工されており、目視だけで気付くことは非常に困難です。Web改ざん対策ツールを活用し、改ざんを検知できるよう備えることが有効です。自社に最適なWeb改ざん検知ツールを選ぶためには、監視対象、改ざん検知速度、検知後の対応という3つの観点と、コストや導入のしやすさとのバランスを考慮することが重要です。
監視対象
自社のWebサイトを構成するWebシステムの規模や種類を把握し、全てを監視対象にできるWeb検知ツールであるかを確認し、監視対象の範囲を検討する必要があります。例えば、公開されているWebサイトだけでよいのか、設定ファイルや実行モジュールなども監視対象としたいのかを検討します。
改ざん検知速度
Webサイトの改ざんから時間がたつほど被害は大きくなりがちなことから、改ざん検知速度はWeb改ざん検知ツールの選択においても重要な要素です。常時監視が理想ですが、後述するコストや運用性を踏まえて、自社に最適な検知速度を選ぶことが求められます。
検知後の対応
Web改ざんを検知した後、通知までで良いか、復旧まで自動で行うかを決める必要があります。復旧まで自動で行うツールはコストが高く導入期間も長くなるため、これからWeb改ざん検知ツールを導入する場合、まずは通知までのスモールスタートも一つの選択肢です。
コストや導入のしやすさとのバランス
Web改ざん検知ツールは、一般的に、機能性が高いほどコストは高くなりますので、自社が求める機能レベルと無理のないコストとのバランスを考える必要があります。加えて、エージェントのインストールが必要なツールや、更新のために新たな原本(オリジナル)の登録が必要な原本比較型のツールは、自社のWebサイト運用チームやセキュリティチームのタスクが多くなります。自社のリソースで無理なく導入できるかにも注意を払うべきでしょう。
おすすめのWeb改ざん検知ツール2選
ここまで説明してきたようなWeb改ざんの最新事情と、Web改ざん検知ツールのさまざまな選定ポイントを踏まえ、弊社がすすめたいWeb改ざん検知ツールは「GRED Web改ざんチェック Cloud」と「WebARGUS」の2つのソリューションです。弊社、アイテック阪急阪神株式会社は阪急阪神東宝グループのIT事業会社として、「IT最前線に挑む専門家集団」を標榜し、Web改ざん対策をはじめとした各種セキュリティ運用支援を行ってきた経験から、それぞれのソリューションの特長をご説明します。
Web改ざん対策「GRED Web改ざんチェック Cloud」
Webサイトの改ざんの有無を定期的にチェックすることで、Webサイトの安全性を確保する外部監視型サービスが「GRED Web改ざんチェック Cloud」です。最新のWebサイト改ざん情報を収集した独自の検知エンジンを有しており、改ざんを検知した際には速やかに管理者に向けてアラートメールと詳細なレポートを送付します。これにより、専任のWebサイト運用者がいないために改ざんされたことに気付かなかった、さらにはWebサイトの脆弱性診断では問題なく、改ざんされたことに気付けなかったといった問題を防ぎます。
GRED Web改ざんチェック Cloudは、初期費用0円で、対象WebサイトのURLを登録するだけでサービスを開始できるサービスで、Web改ざん検知ツールとして国内シェアNo.1[*1]という実績があります。
Web改ざん対策「GRED Web改ざんチェック Cloud」利用イメージ
改ざん検知・瞬間復旧ソリューション「WebARGUS」
一方、リアルタイムでの改ざん検知と、改ざんされた場合に自動復旧ができるWeb改ざん検知ツールが「WebARGUS」です。WebARGUSは、非公開コンテンツを含めた全てのWebコンテンツを24時間365日リアルタイムに監視し、改ざんが検知された際には0.1秒以内に自動復旧します。このため運用者の手間をかけずに迅速な対応ができ、改ざんによる被害を限りなくゼロに近づけることが可能です。
また、ファイルの追加・変更・削除が行われたときだけシステムが稼働するため、サーバへの負荷を抑えられます。管理画面はシンプルで、監視対象の設定が容易であり、復旧用のバックアップは監視設定時に自動的に作成されるため、手動でデータ作成する必要もありません。
改ざん検知・瞬間復旧ソリューション「WebARGUS」利用イメージ
Web改ざん検知ツールに関するお問い合わせ
GRED Web改ざんチェック CloudとWebARGUSは、それぞれWeb改ざんの検知方法や監視方法が異なります。自社に最適なWeb改ざん検知ツールの選び方についても弊社にお問い合わせください。
関連資料をダウンロード
セキュリティソリューションご紹介資料
Web改ざん対策、不正アクセス対策、脆弱性診断など、アイテック阪急阪神が取り扱うセキュリティを強化するさまざまなサービスの紹介資料です。
出典
- [*1] デロイトトーマツミック経済研究所「外部教委対策ソリューション市場の現状と将来展望(2022年度)」
