被害者が加害者!?

カテゴリ: 今月のヒヤリ

近年、被害報告が増えている「Webサイト改ざん」について考えてみる。

Webサイト改ざんとは、第三者(攻撃者)により企業などが運営するWebサイトが、意図しない状態に変更されてしまう攻撃である。

Webサイト改ざんの被害は大きく分けて2種類のパターンがある。

・ページのデザインが書き変えられる。
  主にいたずら目的で”見た目”が変えられるだけなので、ユーザへの直接影響はあまりない。

・内部プログラムが書き変えられる。
  ”見た目”は変わらないが、ほかのWebページに強制的に遷移させるスクリプトなどが埋め込まれ、ページを閲覧したユーザは遷移先のWebページで、不正プログラムに感染する。(ドライブバイダウンロード)。運営者だけでなく、ユーザへの被害も深刻である。

近年多くみられるのは後者であり、
最悪の場合は個人情報や機密情報の漏えいにつながる可能性がある。

サイト運営側として被害にあってしまった場合、セキュリティ対策の甘さを露呈し世間の評判を落とすこととなり、 サイトの復旧作業はもちろんのこと、社会的信用の回復についても大変な労力を要する。

加えて問題となるのは、不正プログラム感染被害を拡大させてしまった「加害者」となってしまうところだ。

このような攻撃はシステムの脆弱性を狙ってくる場合が多く、その被害に遭わないためには使用するPCのOSやソフトウェアの状態を、常に最新に保つことを基本(ユーザも同様)とする。
また、開発時に脆弱性を作りこまないように、セキュリティ対策についてしっかりと考える必要がある。