「 ウェブサイトが改ざんされないように対策を！ 」－ IPAの今月の呼びかけ

IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、Webサイトの改ざんについて、注意喚起を行っている。

最近のWebサイトの改ざんについて

まずは、図1を見てほしい。これはIPAに寄せられた、届出の件数を集計したものである。

2009年末から2010年にかけて、ガンブラーによる攻撃が多発した。また、2012年9月には、近隣諸国からと思われる攻撃が多発した。今回の届出は、それに匹敵する多さとなっている。そして、改ざんの原因を分類したのが、図2である。

原因が判明したもので、もっとも多かったのが脆弱性の悪用である。具体的には、サーバー上で動作するサーバーアプリケーションの脆弱性を狙うものだ。この1年では、

・Parallels Plesk Panel
・Joomla！
・WordPress

が4件ずつで、ほとんどを占めた。この4月に寄せられた届出では、

・Joomla！
・WordPress
・Apache Struts2

の脆弱性が狙われている。これをみると、サーバーのセキュリティ対策を行っていれば、十分であると思われるかもしれない。しかし、IPAでは、一般ユーザーの対策も必要としている。それに関連するのが、図2で、2番目に多いFTPアカウントの盗用である。結果、悪意を持った攻撃者に、サーバーの管理権限を握られてしまうのである。攻撃者は、自由にサーバー内のHTMLファイルなどの変更を行うことができるようになる。さらに、不正なWebサイトへ誘導したり、ウイルスなどの不正プログラムを仕込むことが可能となる。

では、どのようにして、FTPアカウントが盗み出されたのであろうか? IPAでは、一般のユーザーのPCなどにおけるウイルス感染がその原因であると分析している。つまり、その組織内のPCから、IDやパスワードが盗み出されていたのである。実際に、Web改ざんの事例では、十分に複雑で類推しにくいパスワードを設定していたにもかかわらず、1回の攻撃で突破されてしまったものもあるとのことだ。これは、攻撃者がなんらかの方法で、あらかじめFTPアカウントを入手していたとしか考えられない。

上述のような脆弱性の悪用ならば、サーバーのみを守ることで改ざんを防ぐことができるだろう。しかし、このようにFTPアカウントを盗み出されてしまう可能性も意識する必要がある。

個人でも可能な対策は何か

では、どのような対策が必要なのだろうか? ここでは、個人でも可能な対策について取り上げてみたい。まずは脆弱性の解消である。サーバー同様に一般ユーザーのPCにおいても、脆弱性が悪用されることが多い。特に

・Java
・Flash Player
・Acrobat Reader

などの脆弱性が狙われることが多い。最近では、OSや上述のようなアプリケーション類も自動的に最新版へのアップデートが行われるが、その告知があった場合には、速やかに行うべきである。その一方で、インストールされたすべてのアプリケーションを確認することは難しい場合もある(よくあるのが、インストールしたことすら覚えていないことだろう)。そこで、IPAでは、MyJVN バージョンチェッカを無償で提供している。

こういったツールを使うことで、比較的簡単に脆弱性の解消を行うことができる。次は、セキュリティ対策ソフトの導入である。基本機能により、ウイルスの感染を防ぐことが可能である。そして、利用したいのが、Webサイトなどの安全性の評価である。ウイルスを強制的にダウンロードさせるような危険なサイトは、かつては見た目も怪しいものが多かった。しかし、最近は見た目もごく普通に装う。こういったサイトを見分けることは非常に難しい。安全性を評価し、事前に危険なWebサイトをブロックすることにより、ウイルス感染などの危険を防ぐことが可能となる。

そして、パーソナルファイアウォールの導入である。これは、ウイルスなどがFTPアカウントなどを外部に送信しようとしても、その通信を遮断する機能である。出口対策と呼ばれるものであるが、できれば導入しておきたい。

もし、改ざんなどが判明した場合、早急な対応が必要となる。まずは、サーバーの公開を停止し、原因究明と修正作業を行う。そして、IPAに届け出てほしいとのことである。紙数の関係で、管理者向けの対策などは紹介できなかった。Webサーバーやシステムの管理者ならば、ぜひ、今月のよびかけを読んでいただきたい。