【大阪 / 横浜 / 徳島】インフラ / サーバーサイドエンジニア募集中!
【導入実績 500社以上】AWS 構築・運用保守・監視サービス
【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス
【WordPress 専用】クラウドサーバー『ウェブスピード』
【格安】Webサイト セキュリティ自動診断「クイックスキャナー」
【予約システム開発】EDISONE カスタマイズ開発サービス
【100URLの登録が0円】Webサイト監視サービス『Appmill』
【200ヶ国以上に対応】グローバル eSIM「ビヨンドSIM」
【中国への旅行・出張・駐在なら】中国SIMサービス「チョコSIM」
【グローバル専用サービス】北米・中国でも、ビヨンドのMSP
【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」
「Webサイト改ざん」について
技術営業部の大原です。
今回のテーマは「Webサイト改ざん」に関する内容です。
Web改ざんのリスク ~ パターン ~ 対策までを記載します。
Webサイト改ざんのリスク
企業の顏とも言われるWebサイトが悪意に改ざんされた場合、
以下のような多くのリスクが考えられます。
- 機密情報の漏えい
- 社会的信用の失墜
- 賠償責任、取引停止
- 関係各所からのクレーム、謝罪対応
- 企業ブランド力の低下
- 企業の売上減少
- Webサイト閉鎖
- 今までのWebプロモーション経費が水の泡
- マルウェアなどのウィルス感染 (サイト訪問者を攻撃する危険なサイト、二次被害)
- 検索エンジンからのペナルティ(ブラックリスト登録 、SEOの下落) など
Webサイト改ざんのパターン
Web改ざんの攻撃や方法は、攻撃者の目的によっても変わってきますが、
以下の①番と②番のように、気付かれないようにWeb改ざんをおこなうパターンが多くあります。
① ウィルス配布型
■ 見た目:書き換えない
■ 目的:サイト訪問者にウィルスを感染させる
■ 攻撃対象:無差別
② 情報入手型
■ 見た目:書き換えない
■ 目的:クレジットカード情報などの機密情報を盗む
■ 攻撃対象:ECサイト全般
③ 主義主張型
■ 見た目:書き換える
■ 目的:主義主張や政治目的
■ 攻撃対象:大企業、政府系Webサイト
Webサイト改ざんへの対策
Webサイトの改ざんは、主にWebサイトの脆弱性を攻撃されるか、
FTPなどのWebサイトの管理用IDとパスワードが流出することで発生します。
特にWebサイトの脆弱性については、近年のシステムが複雑になってきているので、
その分、脆弱性の確率も増加していく傾向にあります。
Webサイト改ざんのリスクを低減する方法として、事前対策でIPS/IDS・WAFの導入が有効ですが、
それだけではWebサイトへの攻撃を100%を防ぐことは難しいので
Webサイト改ざん検知ツールの導入もオススメします。
これによりWebサイト改ざんの早期発見を促し、Webサイトの早急なリカバリーが可能となります。
Webサイト改ざんチェック
Web改ざんチェックのツールとしては、セキュアブレイン社が提供する「Gred」がオススメです。
Webサイトのコンテンツを自動監視し、
問題発生時のアラート送信と詳細レポートを生成する機能があります。
主な機能
- 改ざん解析対象となるWebサイトを登録するだけ。(1FQDN単位)
- マルウェア、悪意のあるスクリプト、オンライン詐欺サイトなどのリンクの埋込みを検知。
- クロスドメインスクリプト管理、警告機能。
- Gred証明書(セキュリティシール)で、自社Webサイトの安全性を訴求。
- 万が一 改ざんされた場合は、自動的にメンテナンスページへ自動切替え。(javascriptの埋込みが必要)
まとめ
近年Webサイトへの攻撃は巧妙になってきており、攻撃への対策も難しくなってきていますが、
IPS/IDS・WAFと併せて 先述のGredなどを導入することで、
攻撃に対する防御力を高めることは可能です。
※また以下URLはGredの「無料お試し版」です。
URL登録するだけでカンタンにWeb改ざんチェックが可能です。
■ 無料お試し版
Web改ざんチェック「Gred」
0
読み込み中...0 
【2025.6.30 Amazon Linux 2 サポート終了】Amazon Linux サーバー移行ソリューション
この記事をかいた人
About the author
