ウェブサイトでやるべき2つの改ざん対策
2014/07/25
2013 年の春頃から
ウェブサイトへの不正アクセスや改ざんなど、
非常にたくさんの被害が発生しています。
IPA や JPCERT/CC などの団体からも注意喚起されるなど、
事態はなかなか深刻度な状況と言えます。
そこで本日は、ウェブサイトの改ざんを
どのように対策すれば良いかについて
お話しさせていただきます。
本コンテンツの対象となる方
- ・ウェブサイトの改ざん対策の方法を知りたい方
改ざんとは何か
ウェブサイトの改ざんとは、
第三者によって不正にコンテンツが書き換えられること、です。
ウェブサイトのコンテンツが書き換えられるだけでも問題ですが、
悪質なスクリプトなどを仕込まれるなど
ウェブサイトにアクセスした第三者へ被害が及ぶ場合もあり、
被害者どころか加害者にさえなりかねない危険性を持っています。
改ざんされる原因
ウェブサイトが改ざんされる原因は、
大きく分けて次の2つです。
◎FTP アカウントの漏洩
○FTP は、ウェブサーバーとクライアントとの間で
ファイルのやりとりを行うとても一般的な通信の方式ですが、
その通信の内容は暗号化されません。
利用しているパスワードや、どのようなファイルを扱っているかが
すべて見える状態でやりとりされているということです。
それを悪質なユーザーがこれを盗聴すると言うパターン。
○FTP で利用しているアカウントが単純なもので、
悪質なユーザーが推測して不正に利用するパターン。
○ウイルスなどのマルウェアに感染して漏洩するパターン。
◎WordPress などの CMS の脆弱性を利用したもの
○admin など、標準インストールした状態で作られる
管理者権限を持ったユーザーを攻撃対象に、
悪質なユーザーがパスワード解析を試みて漏洩するパターン。
○バージョンアップをきちんと行っていない
システムの脆弱性をつくパターン。
○アカウントが単純なために
悪質な第三者が推測して不正に利用するパターン。
起こりえる被害
様々な被害が考えられますが、よく見られる事例を挙げます。
○ウェブサイトに残した情報の漏洩
本来インターネットからアクセスできない場所に
置いてあるファイルが盗られる事故が発生しかねません。
○不正なサイトへの誘導
ウェブサイトが改ざんされることによって、
アクセスした一般のユーザーに二次被害が及ぶ可能性があります。
○スクリプトなどによる、ウイルス感染
ウェブサイトが改ざんされることによって、
アクセスした一般のユーザーに二次被害が及ぶ可能性があります。
○サーバーをダウンさせるようなプログラムの実行
○別サイトへの攻撃の窓口に利用される
これらの問題以外にも、二次的なものとして
あなたやあなたの会社の社会的信用の失墜があります。
被害が起こっているかを確認するには
詳しくは専門的に確認する必要がありますが、
すぐに行える方法を挙げておきます。
○ウェブサーバーに FTP で接続し、
自分の把握していないファイルが無いかを確認する方法。
○ウェブサーバーに FTP で接続し、
自分が更新した日時よりも後に更新されているファイルを探す方法。
○ウェブサーバーのログを確認し、
自分がログインしていない時間に管理画面へのアクセスや、
FTP サーバーへのログインがないかを確認する方法。
被害の対処方法及び対策について
○改ざん後の対処方法
対処の基本は改ざんされたウェブサイトを元の状態に戻す作業です。
ただし、普段利用しているパソコン自体
すでにウイルスなどに感染している可能性もあるので、
その確認から始める必要があります。
○対策
先に挙げた原因の特定を行い、原因に合わせた対策を講じます。
・FTP 関連であれば、
既存アカウントを削除し、新しい FTP アカウントを作成します。
・CMS 関連であれば、
既存アカウントを削除し、新しいアカウントを作成します。
CMS 自体のバージョンアップの他、不要なプラグインなどの見直しも必要です。
・ウイルス関連であれば、ウイルス対策ソフトなどの導入を導入しましょう。
まとめ
改ざんされるまで、不正アクセスに気づかない会社さんって非常に多いです。
まさか自分のところが・・と思われる様ですね。
しかし、問題が起こってからでは、そもそも何を盗まれたのかも
ハッキリしないのが怖いのです。
の対策をおすすめします。
関連記事
期限切れドメインの取得はSEO対策に有効か?
先日、弊社クライアントが過去に利用していたドメインが 他の業者に取得され、利用さ …
画像に対して SEO 対策を行うための5つのポイント:その2
前回の記事の続きです。 画像に対する SEO 対策についての 残り2つのポイント …
一瞬で欲しい結果を手に入れる検索テクニック
IT 技術者に係わらず、Google の検索を使う方は多いと思います。 ですが、 …
サービスの動画を作るのには高価な機器が必要!?
先日あるセミナーでお会いした方が、動画を使って自社の技術を広めたいので、ビデオカ …
安いシステム開発会社の安さの秘密
クライアント: 「山本さんのところに出したのと同じ内容の開発の見積もりをお願いし …
WordPressでPingを設定する方法
Pingサービスを利用することにより、 あなたのウェブサイトの更新情報を外部に伝 …
リニューアルしたGoogleの検索結果の最新情報
2014年の1月から一部のブラウザで実行されていた Google の検索結果の表 …
YouTubeチャンネルのURLをカスタマイズする方法
YouTubeチャンネルにもURLがありますが、 自分の好きなものに変えられるの …
サイトの信用が決まる「意外と知られていないドメインの情報」
あなたのお持ちのドメイン(弊社であれば「dreamhive.co.jp」)、 い …
システム開発の発注前に社長が把握しておくべき3つのコスト2
前回は、システム開発に出てくる3つのコストについてお話ししました。 「初期」「保 …