「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け

IPAはWebサイトの改ざん報告が再び増加しているとして、サーバや管理PCなどにおけるセキュリティ対策の徹底を呼び掛けている。

[ITmedia]

　情報処理推進機構（IPA）は6月4日、Webサイトの改ざん被害の報告が増加傾向にあるとして、企業のWebサイト管理者などに対し、Webサイトの改ざん対策を徹底するよう呼び掛けた。報告件数は2008年の「ガンブラー」事件や2012年9月の近隣諸国からとみられるサイバー事件の規模に匹敵する状況だという。

　IPAによると、Webサイトの改ざんではサーバの脆弱性の悪用だけでなく、更新に用いられるPCの脆弱性を悪用するケースや、外部に流出したFTPアカウント情報が悪用されるケースも目立つ。サーバ側の対策だけでは不十分であり、社内PCを含めた総合的な対策が必要だと指摘する。

　報告のあったWeb改ざんの原因で、最も多いのはサーバ上で動作するプログラムの脆弱性の悪用。2番目に多いのはFTPアカウント情報の悪用だという。サーバ上で動作するプログラムの脆弱性では4月以降に、Joomla！やWordPress、Apache Struts2の脆弱性を悪用する報告が寄せられた。最近1年間ではParallels Plesk Panelの脆弱性を悪用するケースも多いという。Parallels Plesk Panelが稼働するサーバには、付随してMySQL、やBIND、phpAdminなども利用され、これらのプログラムの脆弱性が悪用される場合もある。

Web改ざんの「原因」による分類（2012年1月〜2013年5月） 出典：IPA

　また、FTPアカウント情報の悪用では管理者が複雑で類推しにくいパスワードを設定していたにもかかわらず、攻撃者が初めの1回でログインに成功したというケースが報告された。このケースでは何らかの理由によってパスワードが盗まれてしまった可能性があり、PCがウイルスに感染したことでパスワードが漏えいした可能性もある。実際に改ざんまでには至らなかったものの、Javaの古いバージョンを悪用してFTPアカウント情報を漏えいさせるウイルスに感染したという報告もあった。

　こうした状況からIPAは、まずWebサイトの改ざんを確認することを推奨している。その際には例えば、（1）サーバ上のHTMLソースと手元にあるオリジナルのHTMLソースを比較する、（2）HTMLソースをセキュリティソフトでスキャンする、（3）ftpアクセスログを確認する――などによって改ざんの有無をチェックし、万が一改ざんされていれば、Webサイトの公開を一旦停止して、原因究明と修正作業を迅速に実施すべきだとしている。また、サイト利用者にも改ざんの事実と、改ざん内容によってはウイルスに感染する危険性があった旨を注意喚起し、謝罪文の掲載や問い合わせ窓口の設置などを勧めている。

　改ざん被害の対策としては、まず社内のコンピュータを常に最新の状態にするよう呼び掛けている。OSと各種プログラムの脆弱性をできるだけ解消しておく。また近年は、正規サイトでも改ざんされている可能性があり、有害なWebサイトを閲覧することを防止する機能（Webレピュテーション機能など）やパーソナルファイアウォール機能などを持った統合型セキュリティソフトの使用も推奨する。

　サーバ側でもPCと同様に稼働する全てのプログラムを最新の状態に保つことが望ましいとし、脆弱性報告のあった上述のプログラムなどに加え、コンテンツ管理システムのプラグインなども常に最新の状態にしていることが重要だという。

　さらに、Webサイトの運用を再確認することも大切だとし、Webサイトの更新用アカウント情報が適切に管理されているかを見直し、Webサイトを更新できるIPアドレスや場所などを限定すること、Webサイト更新専用にセキュリティを強化したコンピュータの利用も提起している。