8月31日から9月4日ごろまでに相次いでWEBサイト改ざん事件が発生しました。事件の関連は不明ですが似たような手口であり同一犯の手口であることが想像されます。
今回の記事はあなたの会社のサイトがこのような被害に合わないように原因と対策を記載していきます。
目次
WEBサイトの改ざんとは?
下記の記事でも紹介している通り、WEBサイトの改ざんは、悪意のある第三者(以下、悪い人)が不適切にウェブサイトを操作して別の情報と置き換えることを意味します。簡単に言えば、「サイトを勝手に書き換えられてしまう」ということです。
以前より経済産業省や警察庁も注意喚起をしておりWebサイトを持つ企業にとっては決して無視できない内容となっています。
最新のWEBサイト改ざん事例、WEBサイトに突如掲載された「破産」の偽情報
今回の一連の事例は、突如各社の公式WEBサイトに「破産宣告」の偽情報が掲載されたという事例になります。被害にあった会社は鹿児島県の鹿児島王将、神奈川県の湘南国際村センター、東京都のコミュニケーションコンサルティングと株式会社新宿スタジオ、株式会社西島畜産の5社です。
この5社のうち、湘南国際村センターと株式会社西島畜産はメールシステムまで乗っ取られたことにより、顧客に対してなりすましメールを送信されていたことも報告しています。
改ざんの原因.1|WebサイトのCMS「Word Press」の脆弱性?
改ざんされた業種に一貫性はないですが、被害が同じということであれば使ってるシステムに問題がある可能性は非常に高いです。なので早速この5社が利用しているCMSを調査してみました。
結果は、5社中調べることが出来た3社が Word Pressを利用していました。
Word Press トップページ
今回の事例の原因が全てWord Pressと断定は出来ませんが、60%がWord Pressを利用していたという事実を考えると、「Word Pressの脆弱性を狙われた」可能性が非常に高いと考えられます。
改ざんの原因.2|Word Pressが狙われる3つのセキュリティホール
Word Pressが狙われやすい理由の詳細ついては以前書いた記事をご確認下さい。
Word Pressを不正改ざんする手法として代表的なものは以下の3つになります。
管理画面への不正ログイン
不正ログインは管理画面でパスワードの総当たり攻撃やリスト型攻撃によって認証を破ってCMSやサーバーへ不正アクセスを行いファイルを書き換える手法です。
通常はアクセス出来ない管理アカウントにログインを許してしまうと、今回のような改ざんは容易に実現出来てしまい非常に危険です。
SQLインジェクションを用いたサイバー攻撃
SQLインジェクションはWebでは一般的なプログラミング言語であるSQLの脆弱性を狙った手法です。Webサイトを構成している言語の中に、不正なSQL文を挿入することで改ざんが出来てしまう手法です。
クロスサイトスクリプティング(XSS)の脆弱性を狙う
クロスサイトスクリプティング(XSS)はプログラムに潜む脆弱性を狙ったサイバー攻撃です。入力機能のあるWebアプリケーションに不正なスクリプトを仕掛け、ユーザーがリンクをクリックするとスクリプトが実行され不正なサイトへ遷移させられる手法です。
これらに加え、Word Pressでは脆弱性のあるプラグインをそのまま使い続けていたり、検証が不十分な個人開発のプラグインを使用していることで不正アクセスをされるケースもあります。
「破産宣告」改ざんの原因特定と発生する被害
今回、各社からどの様な手法が原因になったのかは公表されておりませんが、サイトの特性上、SQLインジェクションか不正ログインの可能性が非常に高いと考えられます。これらの原因は適切なセキュリティ対策を実施していれば充分に防げたケースです。
あなたのサイトに改ざんリスクの脆弱性はありませんか?
今回の件も含め、サイトが改ざんされるとどの様な被害が出るのでしょうか?Webサイトの不正改ざんは軽く見られがちですが、様々な改ざんをされる為深刻な被害を受けるケースも少なくありません。では具体的な被害例を見ていきましょう。
偽の情報の掲載やデータベースの不正改ざん
今回は急に公式サイトに「破産宣告」が表示されたわかりやすい事例でした。偽の情報の掲載だけであれば対策はすぐに出来るかもしれませんがデータベースを改ざんされたらどうでしょうか?下記の事例のように貴重な顧客データを削除され二度と復旧できない状態になってしまうともう取り返しがつかなくなります。
企業イメージの失墜
今回のように、急に公式Webサイトに「破産宣告」が表示されていたらユーザーはどう思うでしょうか?また、ユーザーだけでなく取引先や金融機関は大慌てです。もちろん、虚偽の内容だったということは周知できるかもしれませんが、「この会社はセキュリティ対策の出来ていない企業」という不名誉な烙印はなかなか消すことが出来ません。
なりすましメールの配信
今回は、湘南国際村センターと株式会社西島畜産がこの被害にあっています。顧客や取引先にあなたの会社の名前でランサムウェアなどを添付したメールを送信されてしまう可能性があります。結果、ユーザーや取引先に大きな被害を与えてしまいます。
検索エンジンの検索結果に表示されない
検索エンジンと言えばGoogleです。Googleは独自のアルゴリズムの中に「安全なサイトか?」という基準があります。不正改ざんによって危険なサイトと認識されると、Googleのブラックリストに入ってしまい何をどう検索しても表示されなくなります。もちろん、Webサイトを復旧させれば戻る可能性はありますが、ブラックリストからの除外申請や元の順位に戻るまでの時間など機会損失は非常に大きいです。
しかし、そんなことは本当にあるのか?と思われるかもしれませんが2023年でもそんな事例が発生しています。
上記以外にも、個人情報漏えいやウイルスの拡散など様々な被害に合う可能性があります。これは大企業だけでなく、中小企業も狙われる可能性があることをしっかりとご認識下さい。
まとめ|被害に合わないためにもWebサイトには万全の予防対策を
今回の事例で注目して欲しいことは「中小企業が狙われている」ことです。
先日、secuasにお問合せ頂きました企業が
「うちはそんな大きな会社じゃないから狙われない」
「今まで何もなかったしうちには関係ない」
と仰ってましたが、診断結果を見て頂くと非常に顔が青ざめていました。
secuas 診断結果 詳細ページ
考えてみてください。被害にあった5社もきっと同じことを考えていたはずですが、今回被害にあいました。サイバー攻撃はいわば交通事故と同じです。自分は大丈夫と思ってたらある日突然自分が当事者になる可能性を皆さんは持っています。今まで何もなかったのではなく、たまたま運が良かっただけなんです。
皆さんは交通事故に合わないために、保険をかけ、バックモニターやセンサーをつけて事故を予防しようとされているでしょう。Webサイトにも予防はされていますか?
少しでも不安を感じられた方はぜひsecuasの無料診断をお試しください。secuasはセキュリティ予算の取れない中小企業から大企業まで誰でも導入・運用可能な脆弱性診断サービスです。まずは自社のサイトに改ざんリスクがあるのかを一度ご確認下さい。