情報処理推進機構(IPA)とJPCERT コーディネーションセンターが、ウェブサイト改ざんのインシデント報告が続いているため、ウェブサイト運営者向けに、点検と備えを呼びかけている。
JPCERTによると、この1~6月の期間に報告を受けたウェブサイト改ざんは2624件だった。前期(2013年7~12月)の総件数は4378件であり、件数そのものは減ってきているものの、依然として月平均400件程度の改ざんの報告が続いているという。7月は388件の改ざんがあり、この件数は実際に改ざんされてしまっているウェブサイトの氷山の一角と考えられると説明した。
JPCERTに寄せられたウェブサイト改ざん報告件数は、2013年の秋以降減少していない。横ばいが続いている原因として、ウェブサーバ構築に使用されたソフトウェアが古いバージョンのまま運用されていることが考えられると指摘している。
2013年は6月時点でウェブサイト改ざんの報告件数が過去最多に達し、その後9月にかけて高い水準にあったという。
IPAとJPCERTは、ウェブサイト改ざんの代表的な手口と対策を紹介している。
サーバソフトウェアに残存する脆弱性を狙ったウェブサイト改ざん
古いバージョンやサポートが終了したバージョンのサーバソフトウェアに存在する脆弱性を悪用し、悪意あるウェブサイトへ誘導するよう、不正なファイルをウェブサイトに設置するなど、悪意あるプログラムを実行させるための改ざんがある。
対策として最新バージョンへのアップデートや、サポートが継続している製品への移行を挙げた。
ウェブサイトの管理端末への侵入によるウェブサイト改ざん
ウェブサイトを管理する端末のOSやアプリケーションの脆弱性を解消していない場合、それを狙ったウイルスが侵入すると、管理端末から認証情報が窃取される。そうすると管理者権限が悪用されウェブサイトが改ざんされる。
対策として管理端末用のOSやアプリケーションを最新の状態に管理すると共にネットワーク構成を見直してウェブサイトを更新できる端末を限定するなどの施策がある。
SQLインジェクションの脆弱性を悪用したウェブサイト改ざん
ウェブサイトを構築するウェブアプリケーションにSQLインジェクションの脆弱性が存在する場合、ウェブアプリケーションの入力フォームに悪意ある動作をさせるための値を意図的に入力することで、データベースシステムを不正に操作し、ウェブサイトを改ざん。
対策としてSQLを用いてデータベースを制御するウェブアプリケーションは、入力フォームへの悪意のある入力値を無効化するようにプログラミングすることなどを挙げている。
JPCERTに寄せられたウェブサイト改ざん報告件数の推移