ITトレンド
2014.10.14
Web担当者、Web管理者なら知ってておきたい不正アクセス行為の近況
総務省の調べによると2013年度の不正アクセス行為の認知件数は2,951件で、前年度と比べ1,700件も増加している。2009年時点では一般企業への不正アクセスはまだまだ少なく、プロバイダへの不正アクセスがダントツで多い傾向だったのが、2011年を境にして、その傾向は逆転、もはや2,951件の内2,893件が一般企業への不正アクセスとなっており、この所企業Webサイトの改ざん騒動の報告が止まない状況となっている。
インターネットバンキングの不正取引を目的とした行為が主な不正アクセスだが、近年企業Webサイトを
改ざんし、意図しないファイルをダウンロードさせると行った行為も増えて来ている現状。
もはや一部大企業だけが狙われるのだろうと高を括っている場合ではなくなってきた。
参考:総務庁の報道資料「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
2014年8月に起きた日産自動車Webサイト改ざん騒動
日産自動車のWebサイト内にあるコンテンツ「下取り参考価格シミュレーション」へのリンク先を外部から改ざん、6月から8月の約2ヶ月間の間、日産自動車とは全く関係のない第三者のサイトへ誘導される状態であり、マルウェアが含まれるファイルがダウンロードされた可能性があると報告されています。
[どうして改ざんされたのかその手口]
「下取り参考価格シミュレーション」に使われているプログラムは外部コマンドを実行できる脆弱性があり。第三者がコマンドで改ざんしたという。
Webサイト改ざんに対してどのような対策が必要なのか?
まずは改ざんの手口を知る必要がある。下記は最も多い改ざんの手口である。
サーバやプログラムの脆弱性を利用しWebサイトを改ざんされる。- ガンプラーのような管理PC端末に不正プログラムが侵入し、Webサイトが改ざんされる。
- SQLインジェクションによるデータベースの不正操作。
- 古いバージョンのプログラムを使用しない。
- 常にサーバOSのアップデートを行い、セキュリティパッチの更新、必要なプラグインの実装を行う。
- IPアドレスによる接続制限などによりウェブサイトを更新できる場所を限定する。
※IPA 情報処理推進機構のサイトに「安全なウェブサイトの作り方」が掲載されているので参考にしてほしい。
http://www.ipa.go.jp/security/vuln/websecurity.html
- OSのバージョンアップは当然として、Flash PlayerやAdode Readerなどのソフトウェアには脆弱性の報告が多いものはこま目にバージョンアップを行う。
- アカウント、パスワードを定期的に変更し、アカウントの共有をしないこと。
- セキュリティソフトを導入し、常に最新のウイルス定義ファイルにしておく。
- SQL文の組み立てには必ずエスケープ処理を実装する。
- データベースアカウントの権限見直し、権限を最小限にする。全権限アカウントを容易に作らない。
まとめ
Webサイトの改ざんや顧客情報の流出報道が止まない昨今ですが、
基本的な手口として、プログラムのバグを利用したり、古いバージョンの脆弱性、パッチの未導入により改ざんされるケースが多く、その手口も巧妙になってきています。
サーバ管理者がしっかりとセキュリティ管理を行っているか、定期的なメンテナンスを怠っていないかをしっかり確認をしましょう。特にレンタルサーバを長年借りっ放しで、契約内容が古くなっているサーバなどは、これを機にサーバのリプレースを検討するなど、対策を行ってください。