ゆりか先生のセキュリティひとくち講座

その名のとおり、ウェブサイトが悪意のある第三者によって内容を改ざんされてしまうことを指します。ウェブサイトが改ざんされてしまうと、そのウェブサイトを閲覧しているユーザーは、悪意のある他のサイトへ誘導されたり、マルウェアをダウンロードされたりするよう誘導されたりします。ウェブサイト自体は、ユーザーがいつも利用している正規のサイトであることから、内容だけが書き換えられてしまっていても、気づきにくく、被害に遭いやすい傾向にあります。

例：正規のサイトにパスワードを求める文章を追加され、悪意のあるサイトへ誘導される

見た目の表示が改ざんされているという分かりやすいケース以外にも、ウェブサイト上の処理で内部的に実行されるスクリプトが書き換えられているなど、見た目が変わらない改ざんのケースが特に増えています。このようなケースの場合、ウェブサイトを管理している側でも、見た目以外の処理内容まで細かくチェックする機会が少ないことからも、改ざんが発覚しにくく被害が拡大する傾向にあります。

この他に、ウェブサイトの改ざんは、ハクティビズム（社会的な主張を行うために攻撃を行うこと）として行われることも多くあります。自身の主張を行うために、著名なサイトに表示される文章や画像などを書き換えるケースがあります。

ウェブサイトが改ざんされてしまう原因は、攻撃者がなんらかの方法で、ウェブサイトのサーバーやサービスに侵入されたり、意図せずウェブサイトの内容を更新されたりすることで、行われます。 情報処理推進機構（IPA）の調査によると、約30％の被害は、脆弱性を悪用したものであったことが分かっています。そのほか、調査によって明らかになっている原因には以下のようなものがあります。

• ウェブサイトを構築しているサーバーや、ツール、ソフトウェアの脆弱性が悪用される
• ウェブサイトを管理するために利用している端末が、マルウェア感染被害に遭い、資格情報（ユーザー名とパスワード）が盗用される
• ウェブサイトを管理するために利用しているユーザー名やパスワードを複数人で共有していたり、パスワードが推察されやすいなど、不備があったため、悪用される

ウェブサイトを提供する管理者側

ウェブサイトを提供しているサービスの場合は、現在運用しているサイトやサービスが、改ざんの被害にあっていないかを改めて確認するとともに、基本的なセキュリティ対策を行い、改ざんの原因となる事項への対策を行いましょう。また、管理ができていないまま放置されているウェブサイトが悪用されるケースもありますので、そのようなサイトがないかも確認しておきましょう。

情報処理推進機構（IPA）には、管理者向けの対策方法が多く掲載されています。ぜひこちらを参考にしてください。

• 「止まらないウェブ改ざん！」〜ウェブサイトの管理の再検討を！
• 管理できていないウェブサイトは閉鎖の検討を

利用するユーザー側

被害を防ぐには、もちろん、サーバー側や、ウェブサイトの管理側での対策が必須です。しかしながら、閲覧するユーザー側も、改ざんが行われたサイトを閲覧したとしても、マルウェアや情報漏えいなどの最終的な被害に遭わないためには、以下のような基本のセキュリティ対策を行うことが重要です。

• ファイアウォールをインストールして常にオンにする
• PCやソフトウェアを最新版に保つ
  Windows を利用している場合は自動更新機能を使用してオペレーティング システムおよびソフトウェアを常に最新版に保ちましょう。そのほか、追加で利用しているアプリケーションも、更新しておきましょう。
• セキュリティ対策ソフトウェアを利用する
  Microsoftと提携しているマルウェア対策プログラム（Microsoftヘルプとサポートのウイルス対策ベンダー リスト）や、マイクロソフトが提供している無償のマルウェア対策ソフトウェアMicrosoft Security Essentials、あるいはWindows Defenderを利用しましょう。また、セキュリティ対策ソフトウェアも最新に保つことが重要です。
• サポート対象内の製品を利用する
  サポートが終了してしまった製品は、セキュリティ更新プログラムやセキュリティ対策が提供されず、永遠の「ゼロデイ」にさらされ続けることになります。また、万が一、ウイルスの被害に遭ってしまったとしてもサポートを受けることができません。サポート対象の製品を利用するようにしましょう。

1. 提供されている回避策を設定する
   ゼロデイ攻撃が確認されている場合、ソフトウェアの開発元や提供元が、回避策を公開していることがほとんどです。回避策を実行すれば、脆弱性による攻撃を防ぐことができ、安心して製品を使い続けることができます。マイクロソフト製品でゼロデイ攻撃が確認されている場合は「セキュリティ アドバイザリ」にて情報を公開しています。
2. セキュリティ更新プログラムが公開されたら、すぐに更新を適用する
   WindowsやInternet Explorerであれば、自動更新を有効にしておくことで更新プログラムがインストールされます（新しいバージョンのWindowsでは既定で自動更新が有効になっています）。Officeなど、その他のマイクロソフト製品も、設定を変更することで自動更新を有効にできますので、ぜひ設定しておきましょう。

設定方法などの詳細は、「セキュリティ更新プログラムを適用しよう」をご覧ください。

今回ご紹介したように、ウェブサイトの改ざんは、「信頼のおけるサイトがいつの間にか悪意のある動作に変わっている」点が被害を気づきにくくしています。「正規サイトはみるけど、怪しいサイトはクリックしないから自分は絶対大丈夫」と思っている方もいませんか？
攻撃者が仕掛けてくる手法は、ますます巧妙になり、正規サイトにも見えない脅威が潜んでいます。ぜひ、セキュリティ設定をいまいちど見直してみてくださいね。