【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中!

【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始!

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【WordPress 専用】クラウドサーバー『ウェブスピード』

【WordPress 専用】クラウドサーバー『ウェブスピード』

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【低コスト】Wasabi オブジェクトストレージ 構築・運用サービス

【低コスト】Wasabi オブジェクトストレージ 構築・運用サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【中国現地企業に対応】中国クラウド / サーバー構築・運用保守

【中国現地企業に対応】中国クラウド / サーバー構築・運用保守

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

「Webサイト改ざん」について

技術営業部の大原です。

今回のテーマは「Webサイト改ざん」に関する内容です。
Web改ざんのリスク ~ パターン ~ 対策までを記載します。

Webサイト改ざんのリスク

企業の顏とも言われるWebサイトが悪意に改ざんされた場合、
以下のような多くのリスクが考えられます。

  • 機密情報の漏えい
  • 社会的信用の失墜
  • 賠償責任、取引停止
  • 関係各所からのクレーム、謝罪対応
  • 企業ブランド力の低下
  • 企業の売上減少
  • Webサイト閉鎖
  • 今までのWebプロモーション経費が水の泡
  • マルウェアなどのウィルス感染 (サイト訪問者を攻撃する危険なサイト、二次被害)
  • 検索エンジンからのペナルティ(ブラックリスト登録 、SEOの下落) など

Webサイト改ざんのパターン

Web改ざんの攻撃や方法は、攻撃者の目的によっても変わってきますが、
以下の①番と②番のように、気付かれないようにWeb改ざんをおこなうパターンが多くあります。

① ウィルス配布型

■ 見た目:書き換えない
■ 目的:サイト訪問者にウィルスを感染させる
■ 攻撃対象:無差別

%e3%82%ad%e3%83%a3%e3%83%97%e3%83%81%e3%83%a3

② 情報入手型

■ 見た目:書き換えない
■ 目的:クレジットカード情報などの機密情報を盗む
■ 攻撃対象:ECサイト全般

%e3%82%ad%e3%83%a3%e3%83%97%e3%83%81%e3%83%a3%ef%bc%92

③ 主義主張型

■ 見た目:書き換える
■ 目的:主義主張や政治目的
■ 攻撃対象:大企業、政府系Webサイト

%e3%82%ad%e3%83%a3%e3%83%97%e3%83%81%e3%83%a33

Webサイト改ざんへの対策

Webサイトの改ざんは、主にWebサイトの脆弱性を攻撃されるか、
FTPなどのWebサイトの管理用IDとパスワードが流出することで発生します。
特にWebサイトの脆弱性については、近年のシステムが複雑になってきているので、
その分、脆弱性の確率も増加していく傾向にあります。

Webサイト改ざんのリスクを低減する方法として、事前対策でIPS/IDS・WAFの導入が有効ですが、
それだけではWebサイトへの攻撃を100%を防ぐことは難しいので
Webサイト改ざん検知ツールの導入もオススメします。
これによりWebサイト改ざんの早期発見を促し、Webサイトの早急なリカバリーが可能となります。

Webサイト改ざんチェック

Web改ざんチェックのツールとしては、セキュアブレイン社が提供する「Gred」がオススメです。
Webサイトのコンテンツを自動監視し、
問題発生時のアラート送信と詳細レポートを生成する機能があります。

logo_tcd0000120

■ Gred Web改ざんチェック Cloud

主な機能

  • 改ざん解析対象となるWebサイトを登録するだけ。(1FQDN単位)
  • マルウェア、悪意のあるスクリプト、オンライン詐欺サイトなどのリンクの埋込みを検知。
  • クロスドメインスクリプト管理、警告機能。
  • Gred証明書(セキュリティシール)で、自社Webサイトの安全性を訴求。
  • 万が一 改ざんされた場合は、自動的にメンテナンスページへ自動切替え。(javascriptの埋込みが必要)

まとめ

近年Webサイトへの攻撃は巧妙になってきており、攻撃への対策も難しくなってきていますが、
IPS/IDS・WAFと併せて 先述のGredなどを導入することで、
攻撃に対する防御力を高めることは可能です。

※また以下URLはGredの「無料お試し版」です。
URL登録するだけでカンタンにWeb改ざんチェックが可能です。

■ 無料お試し版
Web改ざんチェック「Gred」

この記事がお役に立てば【 いいね 】のご協力をお願いいたします!
0
読み込み中...
0 票, 平均: 0.00 / 10
162
X facebook はてなブックマーク pocket
【2024.6.30 CentOS サポート終了】CentOS サーバー移行ソリューション

【2024.6.30 CentOS サポート終了】CentOS サーバー移行ソリューション

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始いたします!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始いたします!

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

この記事をかいた人

About the author

ohara

通信業界で法人向けのNWサービス・OA機器・グループウェアなどの、IT製品の導入を担当するセールスとしてキャリアをスタート。

その後、SIer系のデータセンター事業会社で、物理サーバー / ホスティングサービスのプリセールスエンジニア、SaaS型のSFA / CRM・BtoB向けのEコマースなどのカスタマーエンジニアを経て、現在のビヨンドへ入社。

現在は、アジアのシリコンバレー中国・深圳に駐在して、中国ハードウェアの卸販売・貿易代理店の仕事してます。

中国ドラマと billbill を見るのが日課です。

所有資格:簿記二級