目次

  1. ウェブサイト改ざんとは 手口を紹介
  2. ウェブサイト改ざんを発見するには?
  3. ウェブサイトが改ざんされていた場合の対処法
    1. アクセスログなどの保存
    2. 警察への通報・相談
  4. ウェブサイトを改ざんされないための予防策
    1. ウェブサーバに関する対策
    2. DNSに関する対策
    3. ネットワーク盗聴への対策
    4. フィッシング詐欺を助長しないための対策
    5. パスワードに関する対策

 ウェブサイト改ざんとは、第三者がウェブサイトのコンテンツを勝手に追加・削除・変更してしまうことです。警察庁の公式サイトによると、次のような手口が確認されています。

  • 窃取したアカウント情報を悪用した不正アクセス
  • ソフトウェアの脆弱性を突く
  • 組織内のアクセス制御機能の不備をつく

 たとえば、ウェブサイトをWordPressで作成している場合、新たな脆弱性が見つかってないか定期的に確認するようにしましょう。

 自社のウェブサイトが改ざんされると、見覚えのない画像が設置されるなど気づきやすい場合もあるのですが、それ以外でも、見た目ですぐに分からず、検索結果に見覚えのないページが反映されていたり、不審なファイルが置かれたりする場合があります。

 検索結果に反映されるタイプの改ざんの場合、お金をかけずに調べる方法として、警察庁は検索エンジンに意図しない情報が登録されていないか確認することを薦めています。

  1. 検索サイトで『site:(自社ドメイン) 』と入力して検索してください。(wwwは不要で、ツギノジダイならsite: smbiz.asahi.com です)
  2. 検索結果に自社ドメインを使用した見覚えのないページが表示されたら、改ざんされている可能性が高いので直ちに対策を取りましょう

 ウェブサイトが改ざんされていた場合、警察庁はサービスの停止、アクセスログの保存、警察への相談を呼び掛けています。

 すぐにサービスを停止し、管理者画面やデータベースへのアクセスログの保存・印字など証拠を保全してください。

 保存したアクセスログのほか原因特定のため参考となる資料とともに、警察へ相談しましょう。事前に電話で調整しておくと対応がスムーズに進みます。

 改ざんされないためには、情報処理推進機構公式サイト「安全なウェブサイトの作り方」 が参考になります。

 警察庁が対策の一部を抜粋しています。

OSやソフトをのぜい弱性情報を継続的に入手し、ぜい弱性への対処を行う
不要なサービスやアカウントを停止または削除する
公開を想定していないファイルをウェブ公開用のディレクトリ以下に置かない

ドメイン名及びそのDNSサーバの登録状況を調査し、必要に応じて対処を行う
DNSソフトウェアの更新や設定を見直す

重要な情報を取り扱うウェブページでは、通信経路を暗号化する
利用者へ通知する重要情報は、メールで送らず、暗号化されたhttps://のページに表示する
ウェブサイト運営者がメールで受け取る重要情報を暗号化する

EV SSL証明書を取得し、サイトの運営者が誰であるかを証明する
フレームを利用する場合、子フレームのURLを外部パラメータから生成しないように実装する

入力フィールドでは、パスワートは伏せ字で表示されるようにする
パスワードをサーバ内で保管する際は、平文ではなくソフト付きハッシュ値の形で保管する