セキュリティの
学び場

今回の解説ニュース

Webサイトが改ざんされ、不正サイトに誘導されたということです。Webサイトの改ざんにより発生する被害と、ユーザが気を付けるべきポイントについて説明します。

今回のインシデントは、Webサイトの一部ページが改ざんされたことで、当該サイトにアクセスすると不正サイトへ誘導される事象が判明したということです。原因として、第三者からの不正アクセスが挙げられています。

対策として、本件発覚後に、サーバを停止し原因等の調査を行っています。再発防止策として、今後、対策・監視を強化し運営するということです。

素朴な疑問、Webサイトが改ざんされると何が起こるのか？

Webサイトが改ざんされると、マルウェア配布やフィッシング詐欺に悪用される可能性があります。その結果、Webサイトに個人情報が保存されていなくても、個人情報が漏洩してしまう可能性があります。今回のインシデントは、詳細について公表されていませんので、あくまでも一般論として説明します。

Webサイトが改ざんされている状況というのは、多くの場合でそのシステムにファイルを書き込める状態であることが考えられます。ファイルが書き込めるということは、Webサイトのページが書き換えられるだけではなく、マルウェアをアップロードすることもできる可能性があります。アクセスしたユーザに対して自動的にマルウェアがダウンロードされるよう、ページを書き換えることもできます。

ページを書き換えられるということは、偽物のWebサイトを作ることもできます。例えば、ユーザIDとパスワードやクレジットカード情報を入力させるページに書き換えられたら、どのようなことが起こるでしょうか？アクセスしているURLやドメインは正しい情報が使われているので、一般的なフィッシングサイトより誤って入力してしまう確率が高くなることが考えられます。入力された情報は攻撃者の手に渡ってしまうことが考えられるため、Webサイトに個人情報が保存されていなくても、個人情報が漏えいしてしまう可能性があります。

作り込まれた偽サイト、違和感を感じたら一度立ち止まる習慣を

不正なサイトへ誘導されないようにするための対策として、フィッシング対策が役に立つことがあります。具体的には、一度立ち止まって、何が起こるか考える事が必要です。

Webサイトが改ざんされた際に、誰にでもわかるような形であれば管理者が気が付くことができ、対策をすることが可能です。かつては、サイバー攻撃が主張を目的として行われていた時代もあり、わかりやすい形でWebサイトが改ざんされることもあったのですが、最近では金銭を目的としてサイバー攻撃が行われることが増えてきたため、攻撃者はできるだけ気づかれないようにWebサイトを改ざんし、その目的を達成しようとします。その方法の一つが、先ほども説明したフィッシング詐欺です。

フィッシング詐欺の基本的な対策として、アクセスしているドメイン名が正しいか、確認することが必要です。パスワードやクレジットカード情報など、皆さんにとって重要な情報をWebサイトに入力する際は、意図したドメインであるかや、別のWebサイトに誘導されていないかを確認する習慣を身につけましょう。通信が暗号化されているか確認するために、ブラウザに鍵マークがついているか、URLがhttpsから始まっているかも確認するとより安全です。

それでも、Webサイトが直接かつ巧妙に改ざんされていた場合は、ドメイン名をチェックするだけでは、フィッシングサイトであるかどうかの判断がつかない場合があります。その際は、利用者の感覚に頼るしかないことも考えられるのですが、少しでも違和感を感じたら、一度立ち止まって、何が起こるか考える事が有効とされています。これが、フィッシング対策3つの心得である「STOP、THINK、CONNECT」の考え方に基づいています。

今回は、Webサイトの改ざんにより発生する被害と、ユーザができる対策についてお届けしました。