コラム

 公開日: 2015-07-21 

Webサイトの乗っ取りにより攻撃の踏み台にされるリスクと対応

企業や組織のWebサイトは、顧客や見込客、あるいは投資家、求職者といった、様々なステークホルダーに対して情報発信を行い、コミュニケーションを図る上で重要なチャネルの一つとなっています。
一方で、Webサイトに対する不正アクセスや改ざんといった、外部からの攻撃は後を絶ちません。以前はWebサイトのコンテンツを書き換える等の、見た目でわかりやすい改ざんがほとんどでしたが、最近の傾向としては、本当のターゲットであるWebサイトを攻撃する踏み台に利用されたり、企業や組織内部の情報を搾取するための入り口として利用されたりするため、見た目では不正アクセスされたかどうかわからないケースがほとんどとなっております。
先日の日本年金機構に対する不正メールも、国内のWebサーバーを踏み台にして攻撃が行われたことが確認されています。もし、自社のWebサーバーが踏み台にされた場合、他社のサイトを攻撃した主体と誤認されたり、捜査のためにサーバーが差し押さえられて自社のWeb上での活動が停止したりするといった直接的被害に加えて、セキュリティに脆弱な企業という評判から顧客が離れていくことも考えられます。そのためには、自社のWebサイトが不正アクセスされ、コンテンツが改ざんされていないことを確認するため、定期的な点検を行う必要があります。
今回はWebサイトに対する攻撃の動向と点検内容について確認します。

2014年度の標的型メールに関する統計

ここで、独立行政法人情報処理推進機構(IPA、Information-technology Promotion Agency)が運営しているサイバー情報共有イニシアティブ(J-CSIP、Initiative for Cyber Security Information sharing Partnership of Japan)による標的型メール攻撃についての報告を確認します。
まず、標的型メールの送信元となった地域の動向を確認します。
標的型メール送信元地域

ここ数年は日本、香港、韓国、中国のアジア4地域とアメリカで全体の半数前後を占めており、かつ2014年度は日本が初めて1位となりました。なお、メール送信元とはメールヘッダの情報から推測できる、攻撃者がメールを送信する作業を行ったと思われるIPアドレスを指すものです。よって、攻撃者が当該地域から直接メール発信を行った可能性もありますが、大半は日本年金機構の事件の様に、攻撃者の身元を判別させないよう、様々な地域のサーバーを乗っ取って発信されたと考えるべきです。そして発信元として日本が1位ということは、日本に設置されているサーバーが乗っ取りやすいことを示しています。

次に、送付された標的型メールによる不正接続先の割合の状況を確認します。不正接続先とは、攻撃者がある程度継続して管理下に置いて悪用していると考えられるサーバーであり、そのサーバーから以下の様な攻撃が行われています。
・ドライブ・バイ・ダウンロード攻撃(Webサイトを閲覧しただけでウィルスなどの不正プログラムをパソコンにダウンロードさせる攻撃)を行う
・ウィルスに感染させたPC等に、更に別のウィルスを感染させる
・PC等を遠隔操作する
標的型メール不正接続先

2013年度以降、国内の正規Webサイトが攻撃者に乗っ取られ、ウィルス等の不正接続先として悪用されていたと想定されるケースが数多く確認されているようです。攻撃者は、ウィルス等による不正な通信が発見される可能性を低くするため、不審だとされにくい地域のサーバーを通信先として悪用している傾向にあると考えられています。

送付された標的型攻撃メールによる攻撃手口の割合について確認します。なお、攻撃手口の分類は以下の通りです。
・添付ファイル:ウィルス感染させるファイルをメールに貼付して開かせる手口
・URLリンク:メール中に埋め込んだURLリンクからウィルスをダウンロードさせる、フィッシングを行う等の手口
・情報収集:直接被害を与えないが、標的型攻撃の準備段階として送信し、情報収集を行う手口であり、この後に攻撃メールが送信される
標的型攻撃メール種別

傾向として、ここ数年と同様、添付ファイルによる攻撃が半数以上を占めています。また、不明とされているもののほとんどが、恐らくは添付ファイルがウィルスチェック等で削除されたと考えられています。
添付ファイルの内訳をみると、実行ファイルがほぼ半数を占め、続いてOffice文書ファイルが続きます。実行ファイルやショートカットファイルについては、以下の様な偽装が行われ、無害を装う傾向にあるので注意が必要です。
・アイコンを変更してPDF等の文書ファイルに見せかける
・二重に拡張子を付ける(例:xxxxx.pdf .exeとして、.exe部分を表示させないようにする)
・RLO(Right-to-Left Override、文字の表示上の並びを左右逆にする制御文字)による拡張子の偽装(例:xxxxx(RLO)fdp.exeとすると、表示はxxxxxexe.pdfとなる)

最後に、標的型攻撃メールの送信に使用されたメールアドレスの種別を確認します。
送信元メールアドレス種別

国内外のフリーメールアドレスが全体の7割以上を占めており、この傾向は過去と同様となっております。企業や組織の従業者であれば、フリーメールのアドレスから送信されるケースは限定されていると考えられるので、自社や自組織の状況に応じた対策を検討するべきです。また、その他のメールアドレスからの送信が前年比10%の伸びを示しております。企業等のサーバーが乗っ取られ、そこからメールが送信されると、件名や内容に不整合が無い限り、添付ファイルを開けてしまう確率も高くなります。今後、この分類のメールによる攻撃が増加する可能性もあるので、留意する必要があります。

Webサーバーが乗っ取られないことを確認するための確認

インターネットを経由した外部からの攻撃に対しては、これまでは「不正アクセスさせない」ための水際対策を中心に語られてきました。しかしながら、不用意な、または不注意による操作の結果、PCがウィルス感染し、ネットワーク中に感染が拡がった結果、外部へのバックドアが作成され、自社や自組織のサーバーが乗っ取られてしまう可能性が十分あります。今後、攻撃者が容易に身元を判別させないため、攻撃の踏み台にすることを目的としたサーバー乗っ取りのための攻撃が増加することが想定されます。そのため、「不正アクセスさせない」だけでなく、「不正アクセスされてもすぐに気付く」対策を行うことが重要になってきます。それには以下の様な対策が有効であると考えられます。

1.運用しているソフトウェア製品が常に最新バージョンであることの確認(プラグイン等追加の拡張機能も含む)

Webサーバーや運用管理用PCのOSやWWWサーバーソフト、その他ソフトウェアについては、常に最新バージョンであることが重要です。Microsoft製品であれば毎月1回更新プログラムが配布されるので、そのタイミングでソフトウェアバージョンをチェックすべきだと考えます。また、緊急プログラムが配布された場合は、ゼロデイ攻撃の可能性もあるため、その反映状況を確認することも重要です。

2.ウェブサイト上のファイルの確認

Webサーバーが乗っ取られた場合、ドライブ・バイ・ダウンロード攻撃を実行できるようにしたり、フィッシングサイトにリダイレクトしたりするよう、トップページやその他のホームページが改ざんされる場合があります。そのため、Webサーバー上で公開しているホームページファイル(.html等)のリストを定期的に出力し、本来のファイルから更新されていないか、または見知らぬファイルが作成有れていないか確認することが重要です。確認項目としては、以下の通りです。
・ファイル名
・ファイルサイズ
・ファイル更新日時
・ハッシュ値(できれば)
また、ホームページ毎のアクセス状況が確認できるのであれば、ホームページ内容に比べてアクセスの多い傾向のあるホームページについて、個別に調査することも有効であると考えます。

3.ウェブアプリケーションのセキュリティ診断

自社や自組織のWebアプリケーションに脆弱性が存在するかどうか、定期的に確認することで、サーバーが乗っ取られ、悪用される要素の有無を確認することができます。Webアプリケーションのリリース時にチェックした後も、頻度は少なくても定期的に確認すべきだと考えます。具体的な診断についてはIPAのサイト(後述)を確認するほか、有償にはなりますが、セキュリティ専門会社のサービスを活用という選択肢もあります。

Webサーバー運用を外部委託している場合

大半の企業や組織はWebサーバーを外部の専門業者に委託していると思います。その場合、外部委託会社がどこまでのセキュリティ対策をカバーしているか、まずは確認してください。機器等のホスティングだけであれば、OSやWebサーバー等のソフトウェア更新等は含まれていても、コンテンツ管理は委託業務の範囲外であったりします。その場合は、自社でコンテンツファイルが適正であることを確認する必要があります。また、カスタムのWebアプリケーションについても同様で、脆弱性チェックは自社や自組織の責任範囲となる可能性があります。
自社と委託会社の責任範囲を再確認した後、自社の責任範囲については対策を検討し、委託会社の責任範囲については実施内容に応じてレポートを受領する、等の対応を行うことで、自社サーバーに不正な乗っ取りが行われても早期に発見し、対応を行うことが可能となります。

参考:独立行政法人情報処理推進機構(IPA)の以下のサイト

・プレスリリース 「注意喚起「ウェブサイトへのサイバー攻撃に備えた定期的な点検を
安全なウェブサイトの作り方

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。

デルタエッジコンサルタントでは、Webサーバーセキュリティにに関して、
・リスクや脆弱性の評価
・Webサイトの安全な運用等手順の策定支援
・委託業者監督内容の策定
といったサービスを提供しております。
お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

4

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

「ポケモンGO」の偽アプリや偽サイトに注意!

海外で先行配信されていたスマートフォン向けゲームアプリ「ポケモンGO」が日本で配信開始され、社会現象となって...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ