Webサイトの改ざんと聞けば、大手企業や官公庁、有名人などを狙う事件だと思われるかもしれません。しかし、近年では被害が急増しており、企業規模や業種の違い、サイト内容に関わらず、すべてのWebサイトにおいて、危険性が高まっているのだそうです。

気づかれぬように改ざんしデータ搾取

JPCERTコーディネーションセンターの「インシデント報告対応レポート」によりますと、国内のWebサイト改ざんの報告件数は、2012年以降より急増し、それ以降は高い水準で推移しています。（図1）企業だけでなく個人で運営しているサイトにも被害が及んでいるようです。

Webサイトの改ざんとは、悪意のある人物が悪戯や思想表明などを目的に、各ページの見た目を大きく変えてしまう形式が主流でした。しかし、最近のWebサイトの改ざん事件では、できるだけ気づかれないように不正なコードを組み込む方法がとられています。見た目では改ざんされたWebサイトだとわからないので、閲覧者はいつもと変わらぬ状態だと思って利用してしまい、仕掛けられていたウイルスに感染してしまうのです。閲覧者をウイルス感染させ、個人情報を搾取することが目的になっているのです。

ソフトのバージョンアップ実施とセキュリティソフトの活用

改ざんの原因は、Webサイトの管理情報（FTPアカウントやパスワードなど）が乗っ取られたり、ウイルスを通じて流出したりすること、もうひとつは、WordPressなどCMSと呼ばれるWebサイトの管理プログラムの脆弱性を攻撃されてウイルスが埋め込まれてしまうことです。IPAの調べによりますと、ソフトウェアなどの脆弱性関連情報の届出は年々増加しています。（図2）ユーザーとしては、Webやソフトの恩恵を受ける一方で、その脆弱性への対処も常に意識していかなくてはなりません。

しかし、ほとんどのケースはソフトウェアのバージョンアップの実施とセキュリティソフトの利用で防ぐことができます。パソコンにインストールされているソフトウェアが最新かどうかは、次のようなツールで確認ができます。

▼「MyJVNバージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/

インターネットの普及に伴い、改ざんリスクは確実に高まっています。被害に遭ってしまった場合には、復旧作業や調査・報告にも相当の時間を必要とします。対策を講じてもリスクはゼロにはなりませんが、関連の情報に耳を傾け、できる限りの対策を実施しておきたいところです。サンロフトとしても、これまで以上にリスクへの対処について、お客さまと情報を共有していきたいと考えております。

ツイート