Webサイト改ざんとは
Webサイトの改ざんとは、第三者が不正にWebサーバーやコンテンツにアクセスし、本来の内容を勝手に書き換えてしまう攻撃です。具体的には、ホームページの文章や画像が改変されたり、不正なリンクやスクリプトが埋め込まれたりするケースがあります。
改ざんされたWebサイトは、訪問者にウイルスを感染させたり、フィッシングサイトに誘導したりといった二次被害を引き起こす可能性があります。また、企業の信頼性を損なう重大なリスクにもなります。
Webサイト改ざんの手口
Webサイトの改ざんにはさまざまな手口があります。ここでは、代表的なものを解説します。
脆弱性を突いた攻撃
Webサイトの改ざんで多く見られるのが、Webアプリケーションの脆弱性を突いた攻撃です。SQLインジェクションやクロスサイトスクリプティング(XSS)などの手法を使って、意図しないデータベース操作やスクリプト実行を行い、サーバー内部に侵入します。攻撃者はこの侵入口からWebページの内容を改ざんし、ユーザーを不正なサイトに誘導するなどの被害が発生します。
管理画面への不正ログイン
推測されやすいIDやパスワードの利用、あるいはID情報の流出によって、Webサイトの管理画面へ不正にログインされるケースもあります。管理権限を奪われると、ページの書き換えや不要なファイルのアップロードなどが可能になり、改ざんの被害は瞬時に広がります。管理者自身が気づかないうちに不正な内容が公開され、ユーザーに被害を与えることもあります。
マルウェアの埋め込み
Webサイトのソースコードに不正なJavaScriptやHTMLを埋め込むことで、閲覧者の端末にマルウェアを感染させる手口も存在します。これにより、ユーザーの個人情報や入力データが盗まれたり、ウイルス感染が拡大したりと、Webサイトを介して大規模な被害が発生するおそれがあります。外見上は正常に見えるため、改ざんに気づきにくい点も特徴です。
これらの手口は、日々巧妙化・多様化しており、表面的には気づきにくいケースも少なくありません。
Webサイト改ざんを防ぐための対策方法
Webサイトの改ざんを防ぐには、複数のセキュリティ対策を組み合わせた「多層防御」が効果的です。以下のような対策を講じましょう。
- ■IPSの活用
- OSやミドルウェアへの攻撃を検知し、異常な通信をブロック。
- ■ファイアウォールの設定
- 不正なネットワークアクセスを防ぐ。
- ■CMSやプラグインの更新
- WordPressなどのCMSを利用している場合、常に最新のバージョンに保つ。
- ■管理画面のセキュリティ強化
- ID・パスワードの強化、2段階認証の導入。
- ■WAFの導入
- Webアプリケーションの脆弱性を狙った攻撃(例:SQLインジェクション、XSS)を検知・遮断する。
Web改ざん対策としてのWAFの効果とは
Webサイト改ざんの対策のなかでもWAFは、Webサイトの「入口」を守る重要な役割を果たします。では、WAFは具体的にどのような仕組みでWeb改ざんを防いでいるのでしょうか。ここでは、WAFの特徴にフォーカスし、その有用性を詳しく解説します。
攻撃パターンを読み取りアタックを防ぐ
WAFはシグネチャ(サイバー攻撃の手法をパターン化した情報)を基にホームページへの通信内容を監視・検知します。HTTPプロトコルやパラメータの名前・値などを検査し、不正な通信を検知すると自動でそれを遮断します。他にも、Cookieの暗号化や応答ヘッダの追加など、さまざまなWebアプリケーションの防御機能を搭載しています。
そのため、さまざまな手段を駆使して行われる攻撃者からのアタックを未然に防げます。
一時的な予防策や事後対策にも有用
ホームページやWebアプリケーションに脆弱性が見つかると、修正プログラムやパッチを行うまでの間にサイバー攻撃を受けるリスクが高まります。WAFは不正な通信を自動でブロックするため、解決手段が見つかるまでの一時的な予防策として有効です。
さらに、WAFはサイバー攻撃を受けてもただちにそれを食い止めることができ、被害を最小限に抑えられます。したがって、Webサイトがサイバー攻撃によりサービスを停止した場合でも、速やな復旧作業が可能です。
FWやIPSとの違い
WAFはFW(Firewall)やIPS(Intrusion Prevention System)と、どのような違いがあるのでしょうか。それぞれの違いを見ていきましょう。
FW:ネットワークを対象とした攻撃しか防げない
FWは、ネットワークやシステムに対する不正アクセスの防御が主な役割です。ポートを制御したり、IPアドレス、ポート番号などを基に通信の許可・不許可を判断したりします。
WAFと違って通信内容までは検査しないため、SQLインジェクションやクロスサイトスクリプティングといった通信内容を偽装した攻撃を防御できません。また、企業ホームページは常時ポートを開くよう設定しているため、FWでポートを閉じることはできません。すなわち、不正な通信があったとしてもFWではこれを制御できないのです。
IPS:ソフトウェアやOSを対象とした攻撃しか防げない
IPSは、ソフトウェアやOSに対する不正アクセスの防御が主な役割です。外部からの通信内容をシグネチャを基に検査し、通信の許可・不許可を判断します。通信内容を検査できるためFWよりも防御対象が広く、ソフトウェア・OSの不正アクセス防御が可能です。
一方、IPSはSQLインジェクションといった攻撃を防げはしますが、WAFと比べると精度が劣ります。HTTPプロトコルやパラメータの名前や値といった詳細な通信内容までは解析できません。
なお、最近ではAWSをはじめとしたクラウド環境でもIPSを導入・運用するケースが増えています。仮想サーバ上での侵入防止対策を実現するためには、クラウド特有のネットワーク構成や運用ルールに対応したセキュリティ設計が求められます。オンプレミス環境だけでなく、AWSのようなクラウド基盤においても、IPSは有効な防御手段のひとつとして活用されています。
それぞれを組み合わせることがおすすめ
WAFやFW、IPSでは、それぞれ防御範囲・対象が異なります。そして、それぞれのセキュリティツールを単体で導入しても、サイバー攻撃に太刀打ちできません。すなわち、WAF・FW・IPSを組み合わせた多層防御を構築することがセキュリティ対策の基本となります。
WAFの導入における注意点
WAFを導入する際の注意点を2つ解説します。
誤検知や誤遮断の発生リスク
WAFは、サイバー攻撃の手法を基にシグネチャやソフトウェアを定期的に更新していきます。その際、セキュリティレベルを高く設定し過ぎるとWAFが誤検知・誤遮断を起こす可能性が高くなります。正常な通信を攻撃だと見なし、遮断してしまうのです。こういった事象がWebサイト上で度重なると、ユーザーが煩わしく感じるかもしれません。
シグネチャやソフトウェアの更新には専門的な知識が求められます。適切なセキュリティレベルを見極められる技術者の設置をおすすめします。
導入費用だけでなく運用費用も発生
WAFはハードウェアの購入費用だけでなく、ネットワーク構成の変更といったコストがかかります。
導入後は、シグネチャやソフトウェアの更新などの運用費用も発生します。自社で運用するのであれば専任の技術者が、外部に委託するのであればその分の費用が必要です。また、専用のソフトウェアをインストールするタイプのWAFは、サーバ数が増えるとライセンス費用もかかります。利用規模に応じてコストがかかることを覚えておきましょう。
なお、クラウド型のWAFであれば運用をベンダーに一任できます。そのため、運用コストは削減できますが、ランニングコストがかかります。
まとめ
WAFは、Webサイトへの攻撃を未然に防ぐだけでなく、事後対策としても役立ちます。また、FWはネットワークが、IPSはソフトウェア・OSが防御対象です。すなわち、それらのツールを組み合わせた多層防御がセキュリティ対策の基本となります。なお、WAFには誤検知・誤遮断の発生リスクがあること、また導入・運用費用が相応にかかることも覚えておきましょう。
以上に留意し、WAFの導入を前向きに検討しましょう。
