セキュリティの
学び場

今回の解説ニュース

管理用のIDとパスワードが推測されて、ホームページが書き換えられてしまったということです。ホームページを改ざんされないための対策や、パスワードを設定する際に気を付けるべきポイントについて説明します。

今回のインシデントは、不正に設置されたと推測されるファイルが見つかった旨の連絡が政府機関からあったことで発覚しました。具体的には検索サイトで「激安」と検索した際に、被害のあったドメイン内のURLが多数ヒットしたということです。状況としては、Webサーバ内に無関係なファイルが作成され、ヘッダー部等のWebサイトの外見や動作に影響のない既存のものの一部が書き換えられていました。

インシデントの原因として、CMSとして使用していたWordPressの管理用IDとパスワードが類推しやすいものであったため、取得されて不正利用されたことと推定されています。また、発見翌日まで委託先業者に連絡がつかず、当日は緊急対応が指示できなかったこと、アクセスログの保存期間の設定が比較的短く、調査に限界があったことも問題として挙げられています。

対応として、インシデントが発覚した当日に被害のあったドメインを削除し、翌日からWebサーバを停止しています。また、再発防止策として、IDとパスワードの運用の適正化と、委託先業者の管理と対応を改善し、管理体制を見直すとともに、ログ及びバックアップについても運用の改善に取り組むということです。

不正アクセスの被害が軽微な箇所へ攻撃を行う意図

攻撃者の目的は、管理者に改ざんしたことが発覚することを遅らせるためであると考えられます。インシデントの詳細は公開されていませんので、あくまでも一般論として説明します。

攻撃者が脆弱性をついてWebサーバへ侵入できたとします。攻撃者はホームページをマルウェアやフィッシングサイトなどへ書き換えることができます。しかし、改ざんしたことに管理者が気が付いてしまうと、脆弱性が修正されたり、サーバが停止されたり、対策をされてしまいます。これでは、攻撃者の目的を継続して達成することができません。

そこで、攻撃者は一定条件のみで目的のページが表示されるように、ホームページを改ざんする場合があります。具体的には、フィッシングメールのリンクからたどってきた場合は改ざんされたページが表示されるけど、トップページからたどった場合は表示されず、まったく改ざんされていないように見えるといった感じです。このような方法によって、管理者によって対策されることを回避して、サイバー攻撃がより長く継続されることを狙います。

このような技術は、マルウェアのシステムでも使われることがあります。具体的には、セキュリティベンダーが解析目的でアクセスした場合は、悪意のある動作をしないような仕組みが使われている場合があります。

適切で安全なパスワード設定・管理とは？

パスワードの設定と管理についての考え方は様々ありますが、共通して言えることは「他人に知られないようにする」ということです。

パスワード設定については基準が様々

パスワードの文字数が8文字以上がいいのか12文字以上がいいのか、文字の種類はいくつ組み合わせたらいいのか、その基準は様々です。場合によってはシステム側の制限で、パスワードに設定できる最大文字数が制限されていたり、記号が使えないシステムもあります。例えば、銀行のキャッシュカードは4桁の数字が暗証番号になっている場合が多いですね。

パスワード設定を複雑にする目的

パスワードを複雑にする目的は、他人に知られないようにするためです。その目的を忘れなければ、4桁の数字でも何を使ってはいけないか、お読みいただいている皆さんだったらわかっていただけると思います。ただし、パスワードに何を設定してはいけないか分からない人こそ、パスワードの基準について確認することはないであろうという皮肉な現実があります。

パスワードに変わる認証技術「FIDO」

そこで、パスワード自体が脆弱であるという考えに基づいて、FIDOという認証技術があります。FIDOとは、Fast IDentity Onlineの略で、パスワードに代わると見られている認証技術です。生体認証などを利用するためにパスワードを設定する必要がなく、生体情報そのものはネットワーク上に流れず、サーバでも保持しないため、情報漏洩のリスクが軽減されています。

パスワードが人により設定されるセキュリティである以上、脆弱であることは否めませんので、FIDOに限らず属人的ではないセキュリティ対策で大切な情報資産を守りたいですね。