ウェブサイト改ざんの脅威と対策2 はじめに...
TRANSCRIPT
ウェブサイト改ざんの脅威と対策
~ 企業の信頼を守るために求められること ~
2014 年 8 月
1
目次
はじめに ........................................................................................................................................... 2
本書の対象読者 ............................................................................................................................. 2
1. ウェブサイト改ざんの攻撃と影響 ............................................................................................ 3
1.1. ウェブサイト改ざんを狙った攻撃の実情 .......................................................................... 3
1.2. ウェブサイト改ざんの手口................................................................................................ 4
2. ウェブサイト改ざんの対策 ....................................................................................................... 6
2.1. ウェブサイトに関わる工程別担当者とその役割 ............................................................... 6
2.2. 経営者層の実施する対策 ................................................................................................... 7
2.3. ウェブサイト構築・運営者が実施する対策 ...................................................................... 8
2.3.1. 窃取したアカウント情報を悪用した不正ログインの対策(表 1.2.1 の手口 A) ..... 8
2.3.2. ソフトウェアの脆弱性を突く攻撃の対策(表 1.2.1 の手口 B) ............................. 10
2.3.3. ウェブアプリケーションの脆弱性を突く攻撃の対策(表 1.2.1 の手口 C) ........... 12
2.3.4. 組織内のアクセス制御の不備を突く攻撃の対策(表 1.2.1 の手口 D) .................. 14
3. 対策のまとめ ........................................................................................................................... 16
4. おわりに .................................................................................................................................. 17
付録:ウェブサイトセキュリティ対策状況チェックリスト ......................................................... 18
2
はじめに
近年、ウェブサイト改ざん事故のニュースは後を絶たず、ウェブサイトを保有する組織だけで
なく、閲覧者にとっても重大な脅威となっている。また、これを受け専門機関等から注意喚起も
出されている。
ウェブサイト改ざんは組織の規模、業種に関わらず行われる可能性があり、24 時間 365 日ど
の組織がいつ狙われてもおかしくない状況となっている。2014 年に起きた運行会社のウェブサイ
ト改ざんの事例では、ウェブサイトの一時的な閉鎖などにより被害総額が 1 億円に上ったとされ
ている。
ウェブサイト改ざんというと攻撃者の思想の掲載や悪戯目的等でページの見た目を大きく変え
ることを思い浮かべるかもしれない。しかし、最近のウェブサイトの改ざんは閲覧者にウイルス
を感染させるのが目的で、閲覧者にはウェブサイトの改ざんの有無を見た目で判別することがで
きない。ウェブサイト改ざんの中でも、今後特に懸念されるのは標的として狙った組織が閲覧し
そうなウェブサイトを改ざんし、閲覧者にウイルスを感染させる“水飲み場型攻撃”である。こ
れは標的型攻撃におけるウイルス感染の手口の 1 つで、標的とした組織に侵入するための足掛か
りとして、今後主流になると考えられている。
攻撃者により自組織のウェブサイトが改ざんされ、閲覧者に被害が及んだ場合、原因究明、対
策及び復旧作業、信頼回復に向けた社会的な説明など、対応が求められる。そうなる前に、経営
者層を含め組織一丸となって、ウェブサイト改ざんの影響を理解し、適切なセキュリティ対策を
行っていくことが求められる。
本書では、攻撃者の改ざんの手口を理解し、経営者層やシステム管理者などがどのような対策
を行っていけばよいかについて解説する。
本書の対象読者
対象読者 説明
経営者層
(セキュリティ統括責任者)
組織の方針・予算を決定する立場にある人物。
システム管理者 経営者層が決めたセキュリティ方針に則り、ウェブサイトを管理
する人物。
ウェブアプリケーション開
発者
ウェブサイト毎に必要な機能を開発し、実装する人物。
ウェブサイト運営者 ウェブサイトのコンテンツや使用しているソフトウェアの管理
など、実質的な運用を行う人物。システム管理者が兼任すること
もある。
3
1. ウェブサイト改ざんの攻撃と影響
1.1. ウェブサイト改ざんを狙った攻撃の実情
2013 年は警察庁から注意喚起1が発信されるなど、ウェブサイトの改ざんが多発した年であっ
た。さらに、2014 年に入っても官公庁や出版社、大学などの様々なウェブサイトが改ざんされる
被害が引き続き発生しており、複数のセキュリティベンダからウェブサイト改ざんに関する注意
喚起が発信されている。JPCERT/CC が公開している 2014 年 4 月 1 日~2014 年 6 月 30 日のイ
ンシデント報告対応レポートの中でもウェブサイト改ざんの件数がインシデントカテゴリの中で
2 番目に多く、実被害が多数発生していることがわかる(表 1.1.1)。
表 1.1.1 セキュリティインシデントカテゴリ別の分類
2014 年 6 月には古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを
管理するシステム)の脆弱性を狙ったウェブサイト改ざんなどが発生し、ニュース等でも報道さ
れた。これは、古いバージョンの CMS を使用している複数のウェブサイトにウェブサイト改ざ
んの原因となる脆弱性が存在し、攻撃されたために発生した。そういった状況を踏まえ IPA でも
ウェブサイト改ざん事案が多発しているとして注意喚起2を発信した。
このようにウェブサイトの改ざんが横行している理由は、閲覧者のパソコンを効率的にウイル
スに感染できる点である。攻撃者が正規のウェブサイトを改ざんすると、閲覧者は改ざんの有無
を見た目で判別できない。そのため、閲覧者はそうとは知らずに改ざんされたウェブサイトにア
クセスしてウイルスに感染してしまう。その後、攻撃者はウイルスに感染した利用者のパソコン
からアカウント情報を窃取し不正ログインして金銭を得たり、組織の保有する個人情報や機密情
1 ウェブサイト改ざん事案の再多発に係る注意喚起につい て
https://www.npa.go.jp/cyberpolice/detect/pdf/20130930.pdf 2 管理できていないウェブサイトは閉鎖の検討を
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
4
報などを窃取したりする。つまり、ウェブサイトを改ざんされるとウェブサイトを運営している
組織は、改ざんされた側という被害者の立場だけではなく、利用者にウイルスを感染させること
に加担することになり、加害者の立場にもなってしまう可能性がある。
1.2. ウェブサイト改ざんの手口
攻撃者は、閲覧者のパソコンをウイルスに感染させるために、様々な方法でウェブサイトの改
ざんを行ってくる。ウェブサイトの改ざんの手口は、攻撃先(管理用パソコン、ウェブサイトが
使用しているソフトウェア等)や攻撃元(組織内外)などから、大きく以下の 4 つに分類される
(表 1.2.1)(図 1.2.1)。
A 窃取したアカウント情報を悪用した不正ログイン
組織外の攻撃者がウェブサイト管理用パソコンから、アカウント情報を窃取し、ウェブサイ
トに不正ログイン
B ソフトウェアの脆弱性を突く
組織外の攻撃者がウェブサイトの使用しているソフトウェアの脆弱性を突く
C ウェブアプリケーションの脆弱性を突く
組織外の攻撃者が独自に開発されたウェブアプリケーションの脆弱性を突く
D 組織内のアクセス制御の不備を突く
組織内の管理者権限を持たない攻撃者(内部犯行)がアクセス制御不備を突く
表 1.2.1 ウェブサイト改ざんの手口分類表
手口の分類 攻撃先 攻撃元 攻撃手法
A ・管理用パソコン
・組織外管理用ポート3
・ウェブサイト運営者・シ
ステム管理者
組織外 ・管理用パソコンへのウイルス感染
・ウイルスで窃取したアカウント情報で
組織外管理用ポートから不正アクセス
B ・ウェブサイトが使用して
いるソフトウェア
組織外 ・Exploit コードを悪用してソフトウェア
の脆弱性を突く
C ・ウェブサイト毎に独自開
発されたウェブアプリ
ケーション
組織外 ・攻撃ツール等を使用し、独自に開発さ
れたウェブアプリケーションの脆弱性
を突く
D ・組織内管理用ポート4 組織内 ・ソーシャルエンジニアリングなどによ
り管理者アカウントを窃取
・アクセス制御の不備を突く
3 組織外(インターネット)からウェブサイトの管理システムにアクセスするための入り口 4 組織内からウェブサイトの管理システムにアクセスするための入り口
5
図 1.2.1 ウェブサイト改ざんの 4 つの手口
攻撃者の攻撃手口を理解することは、セキュリティ対策を行ううえで非常に有効である。4 つ
の攻撃手口に対して、トータルに対応することで、安全なウェブサイトの構築・運用を実現でき
ることに繋がる。そのためには、経営者層から、システム管理者、ウェブアプリケーション開発
者、ウェブサイト運営者が連携していくことが不可欠となる。
ウェブサイト改ざん被害が後を絶たない昨今、組織一丸となってウェブサイト改ざんの影響と
その責任を認識し、「明日は我が身」という危機意識を持って対策に取り組んでいく必要がある。
組織外
組織内
攻撃者
攻撃者
攻撃者
ウェブサイト
ウェブサイトで使用しているソフトウェア
独自に開発されたウェブアプリケーション
管理用パソコン
組織内管理用ポート
組織外管理用ポート
攻撃者による操作
攻撃箇所
AB
C
D
窃取したアカウント情報を悪用して不正ログインする
ソフトウェアの脆弱性を突く
ウェブアプリケーションの脆弱性を突く
組織内のアクセス制御の不備を突く
ウェブサイト運営者システム管理者
組織内ユーザ
6
2. ウェブサイト改ざんの対策
前章では、ウェブサイト改ざんの攻撃手口の全体像について解説した。それらに対して対策を
行うためには、セキュリティを考慮したウェブサイトの構築・運用が必要である。各工程を主体
として進めていく担当者は、セキュリティを意識して工程を進めていかなければならない。本章
では、各工程で主体として進めていく担当者を洗い出し、その人物が行うべき対策などのセキュ
リティ対策のポイントについて解説する。
2.1. ウェブサイトに関わる工程別担当者とその役割
ウェブサイトの運用開始までのフローは、一般的には、機能的な要件を決める「要件定義」工
程、要件に基づく設計・テストを行う「開発」工程を経て、ウェブサイトの公開後、「運用」工程
が開始される。工程により主体で進める担当者が決まっており、ウェブサイトの改ざん対策を行
うためには、各担当者が意識的にセキュリティを考慮して工程を進めなければならない。例えば、
「要件定義」工程であればシステム管理者が、「開発」工程であれば開発者が、「運用」工程であ
ればウェブサイト運用者が主体となって工程を進めていくことになる。適切な対策を実現するた
めには、これらの各工程でセキュリティ対策が必要となるが、そこで課題となるのがコストやそ
の体制である。一般的にセキュリティ対策の体制や予算を決定するのは経営者層である。そのた
め、システム管理者などは事前にウェブサイトの抱えるリスクについて具体的に洗い出し、セキ
ュリティ対策に必要な予算や体制を経営者層に上申する。その情報をもとに経営者層は事業やビ
ジネス上のリスクを理解したうえで、ウェブサイトのセキュリティ対策のために必要な体制や予
算を承認する必要がある。
セキュリティ対策を考慮したウェブサイトを開発・運用するうえで各工程の主体となる担当者
および実施する主な内容について図 2.1.1.に記載する。
図 2.1.1. 工程ごとの担当者と実施項目
次節からは、各担当者が実施すべき対策について解説する。
前提
•主な担当者:経営者
•セキュリティ対策に関する予算の確保、セキュリティ体制の確保
要件定義
• 【システム管理者】
• ・セキュリティ要件の決定
開発
• 【ウェブアプリケーション開発者】
• ・セキュリティを考慮した設計・コーディング・テスト
運用
• 【ウェブサイト運営者(システム管理者)】
• ・パッチの適用などのセキュリティ対策。
【経営者層】・セキュリティ対策に関する予算の確保・セキュリティ対策を進めるための体制の確保
基本方針
7
2.2. 経営者層の実施する対策
企業にとっては利益を上げることが最優先である。直接的な利益につながらないセキュリティ
対策は後回しになり、予算や人員は限定的にならざるをえない。そのような中で企業は、ウェブ
サイト改ざんにより引き起こされる影響を踏まえて、必要な対策を実施する必要がある。経営者
層はどこまでセキュリティ対策をするのかセキュリティの基本方針をもとに線引きをし、必要な
予算と体制を確保することが求められる。この前提が崩れてしまうとシステム管理者、ウェブア
プリケーション開発者、ウェブサイト運営者がウェブサイト改ざんのセキュリティ対策を進める
ことができないため、経営者層の予算体制確保が対策に必須であることを十分に理解してほしい。
そのため、まずは経営者層が組織防衛としての観点から、セキュリティの基本方針を策定し、
どのように組織や事業を守っていくかを明確にすることが求められる。作成したセキュリティの
基本方針は社員に周知徹底し、組織の経営方針や時代の流れににあわせて、定期的に見直してい
くことも必要である。
続いて、ウェブサイトを改ざんされた結果生じる被害とセキュリティ対策に必要な費用などの
方針決定に必要な情報を収集し、その情報をもとに経営者層はセキュリティ対策の予算を確保す
る。もし、対策の費用がウェブサイト改ざんによる損失より莫大であると判断されれば、対策の
優先度を下げることもひとつの選択肢である。
対策のポイント
経営者は事業やビジネス上のリスクを考慮し、率先してセキュリティ対策の推進を行う
セキュリティ方針の策定と体制の整備を行い、適切な予算を確保する
具体的な対策例
担当者:経営者層(セキュリティ統括責任者)
■セキュリティの基本方針の策定
・セキュリティの基本方針を策定する
・上記方針を社員に周知徹底する
■管理体制の整備と実施策の策定
・セキュリティ推進の体制を整備する
・セキュリティ推進のための手順や判断基準を策定する
■セキュリティ対策の予算確保
・セキュリティ対策に必要な予算の評価・分析を実施する
・対策が必要なリスクに対する予算を確保する
8
2.3. ウェブサイト構築・運営者が実施する対策
経営者層の決定に従いウェブサイト改ざんの対策を実施する場合、1.2.節で紹介したすべての
攻撃に対して対策を行うことが望ましい。本節は、攻撃の概要と担当者毎の対策方法について解
説する。
2.3.1. 窃取したアカウント情報を悪用した不正ログインの対策(表 1.2.1の手口 A)
対策のポイント
システム管理者・ウェブサイト運営者は管理用パソコンのセキュリティ対策を徹底する
組織外からのアクセスはファイアウォールによるアクセス制限をし、ネットワークの暗
号化やアクセス時の二要素認証により安全に行う
想定される攻撃
システム管理者やウェブサイト運営者のパソコン(以降、管理用パソコン)をウイルスに感染
させ、ウェブサイト管理システムにアクセスするためのアカウント情報を窃取し、そのアカウン
トでウェブサイトの改ざんを行う攻撃。攻撃者はシステム管理者に標的型攻撃メールを送り、攻
撃コードが仕込まれた添付ファイルやウェブリンクをクリックさせることなどで、管理用パソコ
ンをウイルスに感染させる。管理用パソコンに直接ウイルスを感染させることができなくても同
じネットワーク内にある一般ユーザのパソコンからウイルス感染を拡大させ、管理用パソコンに
感染させることもできる。その他にも通信を盗聴し、アカウント情報を窃取することもある。
対策すべき箇所
管理用パソコン
組織外管理用ポート
ウェブサイト運営者・システム管理者
具体的な対策例
【攻撃への基本的対策】
担当者:ウェブサイト運営者
① 管理用パソコンのセキュリティ対策
・使用しているソフトウェアの修正パッチの適用を徹底する
・ウイルス対策ソフトを導入し、常に最新の状態に保つ
担当者:システム管理者
② 組織外からウェブサイト管理システムへの安全なアクセス
・ファイアウォールなどで IP アドレスの制限をする
・二要素認証やワンタイムパスワードを使う
9
・VPN 通信により通信内容を暗号化する
【攻撃への追加的対策】
担当者:システム管理者
I. 管理者アカウントによる不正操作の監視
・操作ログから、誰が、いつ、どのような操作を行ったか追跡できるようにする
II. 定期的なセキュリティ教育
・定期的に標的型攻撃メールなどの教育・訓練を行う
III. ウェブサイトのセキュリティ上の弱点を把握
・ペネトレーションテストを定期的に行う
担当者:ウェブサイト運営者
IV. ウェブサイト改ざん発生時の対応準備
・ウェブサイト改ざんのインシデントが発生した場合の対応マニュアルを作成する
・対応マニュアルをもとに定期的に訓練を行う
・訓練の結果を対応マニュアルに反映する
・ウェブサイトが改ざんされていないことを確認し、定期的にバックアップする
図 2.3.1 窃取したアカウント情報を悪用した不正ログインの対策
組織外
組織内
攻撃者
ウェブサイト
①管理用パソコンのセキュリティ対策
②組織外からの安全なアクセスⅠ.管理者アカウントによる不正操作の監視Ⅲ.セキュリティ上の弱点の把握
Ⅱ.定期的なセキュリティ教育Ⅳ.ウェブサイト改ざん発生時の対応準備
ウェブサイト運営者システム管理者
管理用パソコン
組織外管理用ポート
10
2.3.2. ソフトウェアの脆弱性を突く攻撃の対策(表 1.2.1の手口 B)
対策のポイント
システム管理者・ウェブサイト運営者は、ウェブサイトが使用しているソフトウェアの
修正パッチの適用を速やかに行える体制を整える
ウェブサイトにウイルス対策ソフトを導入し、ウイルス定義ファイルを常に最新の状態
に保つ
想定される攻撃
ウェブサイトが使用しているソフトウェアに SQL インジェクションや任意のコードが実行さ
れる脆弱性を突いてウェブサイトの改ざんを行う攻撃。多くのウェブサイトでは、共通のウェブ
サーバ、開発フレームワーク、ミドルウェアなどを部品として使用されているため、ミドルウェ
ア等に脆弱性が存在している場合、同じ攻撃コードで複数のウェブサイトを攻撃することができ
る。そのため、ウェブサイトで広く使われているソフトウェア製品において、危険度の高い脆弱
性が発見され、攻撃コードも存在していると、複数のウェブサイトが対象の脆弱性を突かれて改
ざんされることがある。
対策すべき箇所
ウェブサイトの使用しているソフトウェア
具体的な対策例
【攻撃への基本的対策】
担当者:ウェブサイト運営者
① ウェブサイトのセキュリティ対策
・使用しているソフトウェアの修正パッチを速やかに適用する
・ウイルス対策ソフトを導入し、ウイルス定義ファイルを常に最新の状態に保つ
② ウェブサイトへの攻撃検知
・ウェブサイトのアクセスログを管理する
・アクセスログをもとに攻撃の痕跡を定期的に確認する
③ ウェブサイト改ざんの早期発見
・コンテンツを定期的にチェックし、改ざんを検知する
(ウェブサイトが改ざんされる前のコンテンツを管理しておき、実際に公開している
ウェブサイトのコンテンツと定期的に比較し、改ざんを検知する。)
【攻撃への追加的対策】
担当者:システム管理者
I. 修正パッチを適用できない場合などの予防策
・WAF を導入する
11
・上記の対策が困難で攻撃された際の影響が大きい場合、ウェブサイトを一時閉鎖する
II. ウェブサイトのセキュリティ上の弱点を把握
・ペネトレーションテストを定期的に行う
図 2.3.2 ソフトウェアの脆弱性を突く攻撃の対策
組織外
組織内
攻撃者
ウェブサイト
①ウェブサイトのセキュリティ対策②ウェブサイトへの攻撃検知Ⅰ.修正パッチを適用できない場合の予防策Ⅱ.セキュリティ上の弱点を把握
ウェブサイトで使用しているソフトウェア
12
2.3.3. ウェブアプリケーションの脆弱性を突く攻撃の対策(表 1.2.1の手口 C)
対策のポイント
ウェブアプリケーション開発者は、開発工程から脆弱性を作り込まないセキュアなプロ
グラミングを行う
テスト工程ではツールを使用し、脆弱性を効率的に発見・対策する
想定される攻撃
独自に作り込んだウェブアプリケーションに存在する脆弱性を突く攻撃。ウェブサイトを構築
するにあたり、ウェブサイトで使用しているソフトウェアとは別に独自のウェブアプリケーショ
ンを組み込むことがある。そういったウェブアプリケーションに開発工程から脆弱性対策を適切
に行っていないと多くの脆弱性を内包した状態でウェブサイトを公開してしまう。攻撃者はツー
ルなどを利用してウェブアプリケーションの脆弱性を見つけ出し、攻撃を仕掛けてくる可能性が
ある。特に SQL インジェクションのような危険度の高い脆弱性が存在しているとウェブサイト
改ざんや情報漏えい等様々な影響を受ける可能性がある。
対策すべき箇所
独自に開発されたウェブアプリケーション
具体的な対策例
【攻撃への基本的対策】
担当者:ウェブアプリケーション開発者
① 開発工程の脆弱性対策
・セキュアプログラミング・セキュア設定5を実施する
・ウェブアプリケーションにおいて作り込まれやすい脆弱性の対策を行う6
② テスト工程の脆弱性対策
・ソースコード診断7を実施する
・脆弱性診断8を実施する
【攻撃への追加的対策】
担当者:システム管理者
5 IPA セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/ 6 安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html 7 ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)
http://www.ipa.go.jp/security/technicalwatch/20140306.html 8 ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)
13
I. 修正パッチを適用できない場合などの予防策
・WAF を導入する
・上記の対策が困難で攻撃された際の影響が大きい場合、ウェブサイトを一時閉鎖する
II. ウェブサイトのセキュリティ上の弱点を把握
・ペネトレーションテストを定期的に行う
図 2.3.3 ウェブアプリケーションの脆弱性を突く攻撃の対策
組織外
組織内
攻撃者ウェブサイト
Java
テスト実施者開発者
開発工程
②テスト工程の脆弱性対策
①開発工程の脆弱性対策
独自に開発されたウェブアプリケーション
Ⅰ.修正パッチを適用できない場合などの予防策
Ⅱ.ウェブサイトのセキュリティ上の弱点を把握
14
2.3.4. 組織内のアクセス制御の不備を突く攻撃の対策(表 1.2.1の手口 D)
対策のポイント
システム管理者は、ウェブサイト管理システムにアクセスできる人物を最小限に絞る
ウェブサイト管理システムへのアクセスログを監視し、内部からの不正なアクセスを検
知する
想定される攻撃
アクセス制御の不備を突き、本来アクセスが許可されていない組織内のユーザがウェブサイト
管理システムにアクセスし、ウェブサイト改ざんを行う攻撃。管理システムにアクセスするため
のアカウント情報が必要な場合、組織内部者であればソーシャルエンジニアリングなどの手法を
使い、組織外の攻撃者より容易にアカウント情報が窃取できてしまう。特に内部犯行を行う人物
は他人に打ち明けられない経済的な問題を抱え、内部犯行を行う機会があり、犯行を正当化する
理由付けが考え付く場合に発生する可能性が高い9。
対策すべき箇所
組織内管理用ポート
組織内ユーザ
具体的な対策例
担当者:システム管理者
【攻撃への基本的対策】
① 適切なアカウント管理
・他人に推測されないパスワードを設定し、使い回さない
・アカウント登録・変更・削除は承認を得て実施する
・アカウント登録・変更・削除は手順書に従って実施する
・不要になったアカウントは直ぐに削除する
② 適切なアカウント権限の付与
・アカウント権限は職責を考慮する
・アカウント権限は必要最小限の権限にする
・アカウント権限は知る必要のある最低限の範囲に制限する
③ 組織内の適切なアクセス制御
・ウェブサイト管理システムへのアクセスを専用ネットワークからのみ許可する
・上記が困難な場合は、二要素認証やワンタイムパスワードを導入する
9 組織内部者の不正行為による インシデント調査
http://www.ipa.go.jp/files/000014169.pdf
15
【攻撃への追加的対策】
I. 不正アクセスの予防と追跡
・ルール違反や禁止行為の周知、システム管理者やウェブサイト運営者に対して社内教
育を実施する
・ウェブサイトシステムへのアクセスログから組織内の誰が、いつ、どのような操作を
行ったか追跡できるようにし、不正アクセスを監視していることを組織内に周知する
図 2.3.4 組織内のアクセス制御の不備を突く攻撃の対策
組織外
組織内
ウェブサイト
①適切なアカウント管理②適切なアカウント権限の付与③組織内の適切なアクセス制限Ⅰ.不正アクセスの予防と追跡
③組織内の適切なアクセス制限Ⅰ.不正アクセスの予防と追跡
組織内管理用ポート
組織内ユーザ
16
3. 対策のまとめ
2 章では、担当者毎のウェブサイト改ざんの対策について解説した。システムライフサイクル
に従い、ライフサイクルの各工程に適切な対策を行うことが重要である。システムライフサイク
ルの各工程で誰がどのような対策をする必要があるのかを以下にまとめた(図 3.1)。既に運用し
ている組織においては運用工程の対策だけでも実施を検討し、ウェブサイトをリニューアルする
際などに各工程において対策ができるように準備することも重要だ。
図 3.1 ウェブサイト改ざんの対策のまとめ
今回解説した対策を今後行っていくうえで、先ずは自組織が現状どこまで対策を行っているか
認識しておき、ウェブサイトが抱えている問題とリスクを理解しておくことが重要である。
本書の付録に対策状況を確認できるチェックリストを付けた。例えば、システムの導入やリプ
レースの際にシステム管理者はチェックリストの結果をもとに経営者層に対して現状抱えるリス
クを説明し、必要な予算や体制の確保を上申する際に活用してほしい。
9
要件定義
セキュリティ対策
経営者層 ○セキュリティ基本方針の策定
○管理体制の整備と実施策の策定
○セキュリティ対策の予算の確保
システム管理者
○組織外からウェブサイト管理システムへの安全なアクセス
○組織内の適切なアクセス制御
○組織外からの攻撃検知・防御
○管理者アカウントによる不正操作の監視
○ウェブサイトのセキュリティ上の弱点を把握
○適切なアカウント管理○適切なアカウント権限の付与
○組織内からの不正アクセスの予防と追跡
○修正パッチを適用できない場合などの予防策
○定期的なセキュリティ教育
ウェブアプリケーション開発者
○開発工程の脆弱性対策 ○テスト工程の脆弱性対策
ウェブサイト運営者
○ウェブサイトのセキュリティ対策
○ウェブサイト改ざんの早期発見
○ウェブサイトへの攻撃検知○管理用パソコンのセキュリティ対策
○ウェブサイト改ざん発生時の準備
設計 実装 テスト・検証 運用基本方針
17
4. おわりに
本書では、4 つのウェブサイト改ざんの攻撃手口に対して、ウェブサイトの構築・運営者がど
の工程でどのような対応を行うべきかを整理し、解説した。一般的にウェブサイトのセキュリテ
ィ対策というと、システム管理者に任せればよいと思われがちだが、本書で述べてきたように経
営者層を含め、ウェブサイトを開発・運用する方にも適切なセキュリティ対策が求められる。ウ
ェブサイト改ざんが横行する昨今、他人事ではなく、いつ自組織のウェブサイトが改ざんされて
もおかしくないという危機意識を持ち、組織一丸となって対策を進めていくことが重要である。
本書で紹介したすべての対策を必ずしも早急に実施しなくてはならないということではない。
セキュリティ対策を優先したがために、組織の本来の業務が止まってしまったら本末転倒となる
からである。重要なことは、コストパフォーマンスを考え、無理のない現実的な対策を行うこと
である。
本書が、組織における効果的なウェブサイトの開発と運用の一助になることを期待している。
18
付録:ウェブサイトセキュリティ対策状況チェックリスト
経営者層
No 工程 概要 チェック項目
1 基本方針 セキュリティの基本方針
の策定
□ セキュリティの基本方針を策定している。
□ 上記方針を職員に周知徹底している。
2 基本方針 管理体制の整備と実施
策の策定
□ セキュリティ推進の体制を整備している。
□ セキュリティ推進のための手順や判断基準を策定している。
3 基本方針 セキュリティ対策の予算
確保
□ セキュリティ対策に必要な予算の評価・分析を実施している。
□ 対策が必要な脅威に対する予算が確保されている。
システム管理者
No 工程 概要 チェック項目
1 要件定義 組織外からのウェブサイ
ト管理システムへの安
全なアクセス
□ ファイアウォールによる IPアドレス制限などによりウェブサイト管理
システムへのアクセスを制限している。
□ 二要素認証やワンタイムパスワードを使用している。
□ VPN通信により通信内容を暗号化している。
2 設計 組織内の適切なアクセ
ス制限
□ ウェブサイト管理システムへのアクセスを専用ネットワークからの
み許可している。
□ 上記が困難な場合は、二要素認証やワンタイムパスワードを導入
している。
3 設計 組織外からの攻撃検
知・防御
□ ウェブサイトへの攻撃を検知・防御するために、IDS、IPS、WAFを
導入している。(※1)
4 設計 管理者アカウントによる
不正操作の監視
□ 管理者の操作ログから、誰が、いつ、どのような操作を行ったか追
跡できる。
5 テスト・検証 ウェブサイトのセキュリ
ティ上の弱点を把握
□ ペネトレーションテストを定期的に実施している。
□ 事前に関係各部門からペネトレーションテスト実施の承認を得
ている。
□ システムの変更、年に1回などペネトレーションテストを実施する
トリガーが明確になっている。
6 運用 定期的なセキュリティ教
育
□ 定期的に標的型攻撃メールの教育・訓練を行っている。
7 運用 組織内からの不正アク
セスの予防と追跡
□ 禁止行為やその行為の罰則を周知している。
□ 組織内からの不正アクセスを監視していることを周知している。
□ ウェブサイトシステムへのアクセスログから組織内の誰が、いつ、
どのような操作を行ったか追跡できる。
8 運用 適切なアカウントの管理 □ 他人に推測されないパスワードを設定し、使いまわしていない。
□ ウェブサイト管理システムのアカウント登録・変更・削除は承認を得
て実施している。
□ ウェブサイト管理システムのアカウント登録・変更・削除方法は手
19
順書になっている。
□ 不要になったアカウントは直ぐに削除するように運用している。
9 運用 適切なアカウント権限の
付与
□ ウェブサイト管理システムのアカウントは職責を考慮している。
□ ウェブサイト管理システムのアカウントは必要最小限の権限にして
いる。
□ ウェブサイト管理システムのアカウントは知る必要のある最低限
の範囲内に制限している。
ウェブサイト運営者
No 工程 概要 チェック項目
1 運用 管理用パソコンのセキュ
リティ対策
□ 管理用パソコンに入れているソフトウェアの修正パッチの適用を徹
底している。
□ 管理用パソコンにウイルス対策ソフトを導入し、ウイルス定義を常
に最新の状態に保っている。
2 運用 ウェブサイトのセキュリ
ティ対策
□ ウェブサイトが使用しているソフトウェアの修正パッチを速やかに適
用できる。
上記が実現できない場合以下の対策のどちらかを実施している。
・WAFの導入を検討する。
・ウェブサイトの一時閉鎖を検討する。
□ ウェブサイトにウイルス対策ソフトを導入し、ウイルス定義を常に最
新の状態に保っている。
3 運用 ウェブサイト改ざんの早
期発見
□ ウェブサイトのコンテンツを定期的にチェックし、改ざんを検知する
ことができる。
4 運用 ウェブサイトへの攻撃を
検知
□ ウェブサイトのアクセスログを管理している。
□ アクセスログをもとに攻撃の痕跡を定期的に確認している。(※2)
5 運用 ウェブサイト改ざん発生
時の準備
□ ウェブサイト改ざんのインシデントが発生した場合の対応マニュア
ルを作成している。
□ 対応マニュアルをもとに定期的に訓練を行う。
□ 訓練の結果を対応マニュアルに反映する。
□ ウェブサイトが改ざんされていないことを確認し、定期的にバックア
ップする
ウェブアプリケーション開発者
No 工程 概要 チェック項目
1 実装 開発工程の脆弱性対策 □ セキュアプログラミング・セキュア設定を実施しているか。(※3)
□ ウェブアプリケーションにおいて作り込まれやすい脆弱性の対策を
行っている。(※4)
2 テスト・検証 テスト工程の脆弱性対
策
□ ソースコード診断を実施している。(※5)
□ ウェブアプリケーション脆弱性診断を実施している。(※6)
20
※1:Web Application Firewall 読本
https://www.ipa.go.jp/security/vuln/waf.html
※2:ウェブサイト攻撃の検出ツール iLogScanner
http://www.ipa.go.jp/security/vuln/iLogScanner/
※3:IPA セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/
※4:安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
※5:IPA テクニカルウォッチ「ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)」
http://www.ipa.go.jp/security/technicalwatch/20140306.html
※6:IPA テクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開
http://www.ipa.go.jp/about/technicalwatch/20131212.html
21
IPAテクニカルウォッチ
ウェブサイト改ざんの脅威と対策 ~企業の信頼を守るために求められること ~ [発 行] 2014 年 8 月 29 日
[著作・制作] 独立行政法人情報処理推進機構 セキュリティセンター
編集責任 金野 千里
執筆者 関口 竜也 亀山 友彦