WEBサイトの改ざんは、悪意のある第三者(以下、悪い人)が不適切にウェブサイトを操作して別の情報と置き換えることを意味します。簡単に言えば、「サイトを勝手に書き換えられてしまう」ということです。現在では、インターネットに接続するパソコンやスマートフォンが一般的に広く使われ、日々の生活の一環となってウェブサイトを活用しています。悪意のある第三者はそのような状況を利用し、罠を設計し個人情報を盗んだり、自身の目的のために不正なサイトへの誘導を行いユーザーや事業主に甚大な被害を与えます。この記事では、ウェブサイトの改ざんの目的や方法、事例、対策などを細かく説明します。

 

WEBサイトの改ざん発生推移

これはしばしばウェブサイトの存在する脆弱性や、FTPに接続する管理者のコンピューターがマルウェアに感染する結果として起こります。ウェブサイトが改ざんされると、WEBサイト管理者が望んでいない及び適切でない情報の配信や、WEBサイトの訪問者がマルウェアに感染する等の問題が発展する可能性があります。JPCERT協同センターという団体が2020年10月に公開したデータによれば、ウェブサイト改ざんに関する事例調査では、同年の7月から9月までの四半期で374件のレポートがあり、前四半期の291件から1.3倍に上昇している。特に、ウェブサイトに不正に埋め込まれたコードにより、訪問者が詐欺サイトに無理やりリダイレクトさせられる状況が、数多くの事例で確認されています。

 

WEBサイトの改ざんをする5つの目的

サイトを改ざんして何をするのかイメージ出来る人は少ないと思います。しかし、残念ながら悪い人は世の中に少なからずいます。悪い人が考えている目的として代表的なものを以下でご紹介致します。

 

1. マルウェアの配布

ウェブサイトを改ざんして訪問者のデバイスにマルウェアをダウンロードさせ、そのデバイスを遠隔操作したり、個人情報を盗んだりすることがあります。改ざんされたサイトを通じてマルウェアが配布されると、訪問者のデバイスやネットワークが危険にさらされます。

 

2. ユーザーの個人情報取得

訪問者を偽のウェブサイトへ誘導することで、信用情報や個人情報の盗み出しを試みる目的でウェブサイトを改ざんすることがあります。訪問者は安全なサイトと思い込み情報を入力し、結果的に不正利得につながる可能性があります。

 

3. 不正な広告の配信

広告収入の増加を狙って、悪い人はウェブサイトに不正な広告を表示するように改ざんする場合があります。広告クリック毎に収益が得られるため、訪問者に広告をクリックさせることで不正な利益を得ることが可能です。

 

4. リベンジサイト作成

悪い人が個人的な恨みや怒りから特定の人物や企業を攻撃し、その評判を損なう目的でウェブサイトを改ざんすることもあります。このような行為によって、対象となった企業のブランドイメージに大きなダメージを与える可能性があります。

 

5. 政治的、宗教的な主張

特定の政治的、宗教的な思想を広めるためにウェブサイトを改ざんすることもあります。このような改ざんによって、訪問者は誤ってそれらの思想を受け入れるかもしれませんし、不快感を覚えることもあります。愉快犯的に実行する人もいれば、お金や何らかの利益のために上記を実行されています。

特に１．のマルウェアの配布は自社が感染しないように対策していても、WEBサイトを改ざんされると「自社が感染を広める」ことになってしまうので要注意です。

あなたのWEBサイトに改ざんのリスクはありませんか？まずは無料で診断してみてください。

ニュースになったWebサイト改ざんによる３つの被害事例（2023年最新版）

セキュリティという言葉が様々なところで聞かれますが実際はまだまだ改ざんによる被害は発生しています。2023年に発表された直近の被害事例を３つご紹介致します。

 

ネット通販フーヅフリッジ　ECサイトで改ざん被害、注文情報が漏えい。2023年5月23日

5月10日の早朝7時22分ごろ、「フーヅフリッジ」のウェブサイトから、注文情報が不正に取得されたことが判明しました。また同日の午後6時49分から翌11日の午後1時53分にかけてはウェブサイトが改ざんされ、ホームページに不適切なバナーが表示され、自動的に他のウェブサイトにリダイレクトされる状況が確認された。不正に取得された情報には、注文番号、注文の日付と時間、会員コードなどが含まれていると発表されています。

 

新潟医療福祉大学　大学のWEBサイトで改ざん被害、不適切ページへユーザーを誘導。2023年4月1日

 

WEBサイト改ざん事例｜新潟医療福祉大学のWEBサイトが閉鎖に追い込まれた原因

この問題は、4月1日の夜9時40分ごろに同大学のウェブサイトへの不正アクセスの可能性が確認され、同日夜10時10分ごろに該当サイトの閉鎖と査定を開始したときに起こりました。CMS（コンテンツ管理システム）の弱点を悪用した外部からの不正アクセスにより、ウェブサーバーのファイルが書き換えられ、該当サイトにアクセスすると悪質なウェブサイトに自動的にリダイレクトされる状況が発生し約3時間サイトを閉鎖し対応にあたりました。

 

ラウンドワン　WEBサイトで改ざん被害。不適切ページへユーザーを誘導。2023年2月27日

この問題は、2月25日の夜10時53分から翌26日の午前11時10分までの間、同社の公式ウェブサイトの料金情報ページが改ざんされ、他の不適切なオンラインページへの誘導がなされていたというものです。同社では2月25日に料金情報ページが予想外のオンラインページにリダイレクトされていることを確認し、調査の結果、そのページが改ざんされていることが確認されました。ウェブサイトの改ざんに気付いた後、同社は直ちにそのページを削除し、元の状態への復元作業を進めています。

ここで取り上げた事例はあくまでも発表されたケースであり、発表されていない事例や気が付いていないケースも多く存在します。2023年7月13日に発表されたJPCERT/CC インシデント報告対応レポートで2023年度は6月までに673件報告されています。昨年より減少傾向にはありますが1ヶ月に110件以上が発見されています。

参考：JPCERT/CC 発表 インシデント報告対応レポート

 

WEB改ざんのよくある5つの誤解

今まで書いてきた内容を読んで頂ければ大丈夫かとは思いますが、社会に蔓延しているWEB改ざんについての間違った認識を記載しておきます。

世間でインシデント報告が減少しているから大丈夫

世間で減っているのは大手企業が対策を実施していっているので報告件数は減っています。しかし、これは「診断して対策したので減っている」のであって何もしなければ改ざんリスクは残ったままです。

うちは中小企業だから関係ない

これはとんでもなく誤った認識です。悪い人はセキュリティの甘いサイトを狙っています。大手が対応するとセキュリティに甘い中小企業が狙われ出すのは必然です。

うちのサイトはあまり見られてないから関係ない

目的で記載しました1. マルウェアの配布を狙ってる悪い人は閲覧数なんて気にしていません。1社引っかかれば目的は達成できます。もし、新規取引を考えてくれている会社があなたのサイトを見てマルウェアに感染してしまったら、その会社はそのあとあなたの会社と取引してくれますか？

改ざんされてもすぐ復旧できる

社内にセキュリティエンジニアが常駐していればその可能性はあります。改ざんの対応は急を要します。新潟医療福祉大学様の件では発見直後の22時に閉鎖、明け方4時に復旧と深夜帯に対応されていました。そんな対応をしてくれるような体制になっていますでしょうか？

WEBサイトを作ってくれている会社がセキュリティをやってくれている

これが一番の誤った認識かもしれません。本当にやってくれていますか？リスクが無いかご自身の目で確認されましたか？インシデントが発生すると基本はあなたの会社の責任になります。まずはサイトのリスクの有無をご自身の目で確認されることをお薦め致します。

 

WEBサイト改ざんの阻止をするための6つの対策

Webサイトが改ざんされると、企業は顧客やその他の関連者からの信頼を喪失し、事業への損害は甚大となり得ます。そこで、改竄を防ぐためのアプローチとして、下記の6の対策を詳しくご紹介します。

 

1.WEBサイトの定期的なアップデートとパッチの適用

システムやソフトウェアは常に最新の状態に保つ必要があります。古いものはセキュリティ的な脆弱性を持つことがあるため、定期的にアップデートとパッチの適用をすることで、最新のセキュリティ対策を講じることができます。

他の記事でも書きましたがJava Scriptのアップデートが出来ていないとWebサイトを改ざんされてマルウェアを埋め込まれたりする可能性もあります。詳しくは下記の記事をご参照ください。

意外と怖い、Java Scriptの落とし穴と4つの確認方法

 

2.サイト管理画面のパスワード強固な設定と管理

内部からの改ざんも防ぐため、エンジニアや編集者が利用する管理パネルやFTPへのアクセス情報は強固なパスワードにし、安全に管理します。パスワードの管理体制や運用にも最善の注意を払い外部に漏れないような運用管理が必要です。

 

3.WAF(ファイアウォール)やセキュリティツールの導入

異常な通信を検知し、不正アクセスをブロックするためのファイアウォール、最適なセキュリティ設備を導入しましょう。

改ざん事例の多いWordPressを利用されている企業も多いと思います。ぜひ下記の記事を参考にしていただきセキュリティ対策を薦めてください。

サイト構築時に要確認｜WordPressで必須のセキュリティ対策6選｜無料のセキュリティプラグインもご紹介

 

4. 各種ログの確認と監視

サーバーやシステムのログを定期的に確認し、異常な動きやエラーの発生を早急に把握できるようにすることも重要です。必要に応じてセキュリティ専門の監視サービスを利用すると良いでしょう。

 

5.WEBサイトのデータバックアップ

万が一を考え、定期的にシステムやウェブサイトのデータのバックアップを取っておくことが重要です。このバックアップはローカルだけでなく、リモートにも保管し、場合によっては暗号化して安全に保管することも重要です。

 

6．サイトのリスクを診断（Webアプリケーションの脆弱性診断の実施）

1~5のような通常運用も重要ですが、サイトにセキュリティーホールがあってはそもそも話になりません。

家に置き換えてお話すると、最新の鍵に付け替え、塀を高くして、監視カメラをつけて、番犬を飼うなどの対策をしているのに玄関や2階の窓が開きっぱなしになっているようなイメージです。6番目に書きましたが「サイトの鍵をちゃんと閉める」は一番最初にしないといけない対策です。

そして自社のサイトに潜むリスクをちゃんと把握して計画的に対策を実施してください。Webアプリケーションの脆弱性診断について詳細は下記の記事を参考にして下さい。

無料から数百万円｜自動から手動診断まで脆弱性診断（セキュリティ診断）サービスの費用の仕組みを解説

 

WEBサイト改ざんのまとめ　「まずはサイトのリスクを把握する」

「Gumblar」というマルウェアによるWebサイト改ざんの波は2009年から2010年にかけてピークを迎えました。それから約10数年が経過した現在でも、Webサイトの改ざん被害は止まることを知りません。インターネットやスマートフォンの普及が加速する中、企業がビジネスを行う上でWebサイトは欠かせないものになりましたがそれを利用して悪い人がWebサイトへの攻撃を益々強化しているのです。

「自分たちは関係ない」と思っていてもある日突然狙われます。

2023年G7サミットの開催でいきなり広島市のHPや広島市内の企業のHPがサイバー攻撃を受ける事例も発生しています。

Webサイトが改ざんされると、その結果としてサービスの中断や顧客への影響、さらにはブランドイメージの損失など、ビジネスの進行に重大な影響を及ぼします。今日の状況は、被害に遭う可能性を避けるのではなく、被害を前提とした上で対策を立てることが必要となる時代になっています。

まずは自社のサイトにWebサイト改ざんのリスクが無いかを無料で確認してみてください。