現在位置:
  1. asahi.com
  2. ITセキュリティ情報センター

ニュースから学ぶセキュリティの鍵

データ漏洩は75日じゃ収まらない

すでに上場企業ではパソコン向けのウェブサイト開設率が100%に近づきつつあるという。顧客や市場に自社の情報を提供したり、通販などの商取引に利用するなど、ビジネスに欠かせないものとなりつつあるウェブサイトだが、ネットの世界に潜む悪人にとっては、格好の攻撃対象でもある。

たとえば先月、こんな事件があった。

サイト改ざん被害1000件超 攻撃元は中国か(2008年03月31日)

コンピューターウイルス対策大手のホームページ(ウェブサイト)が改ざんされた問題で、同社以外に1000以上の企業や個人のサイトが被害を受けた可能性があることがネット関係各社の調査でわかった。被害は英国、カナダ、韓国にも及ぶ。直接の攻撃元は中国とみられるという。安全対策が不十分なサイトが被害を受けており、各社は注意を呼びかけている。

「サイト改ざん」は、外部から不正な手段を使ってウェブサイトのページを外部から勝手に書き換える、構造や処理プログラムに改変を加えると言った行為を指す。

一番わかりやすいのは、ウェブサイトの「顔」であるトップページを自分で用意したものと差し替えることだ。政治的なメッセージを発したり、個人的な中傷行為やいたずら書きなどを表示させる。

サイトにアクセスした利用者が必要な情報を参照できない、不快な思いをする、「サイトを改ざんされた企業」というマイナスイメージを持たれるなど、改ざんされた企業にはそれなりの損害があるが、差し替えられたページを元に戻せばそれ以上の被害はなくなる。

しかし近年のサイト改ざんは、そんな単純なものではなくなりつつある。改ざんしたページを表示したパソコンにウイルスを送り込んだり、ユーザー名やパスワード、口座番号等の個人情報を盗んだりしようとするものが出てきたのだ。こうした場合、差し替えられたページを元に戻しても、そこから感染したウイルスや盗まれた情報によって、さらなる被害が起こる可能性がある。

しかも、元のページの内容はそのままに不可視のコード(プログラム)を追加することで、改ざんに気づかれにくくする手法が増えている。今回の事件でも、ページ内容はほぼそのままで、そのページを表示したパソコンに別のウェブサイトから自動でウイルスをインストールしようとする改ざんがあった。

見た目を変える改ざんは見てもらわないと意味がない。発見されるのが目標で、ハッカーの腕自慢や意思表示などの自己顕示的な目的が見え隠れしている。しかし、見た目そのままである「不可視の改ざん」は発見されないことを目標としている。明らかにその後の被害を狙ったものだ。さらに、見た目の改ざんは攻撃対象がサイト自体、あるいはサイトを開設している企業だと考えられるが、不可視の改ざんは、それに加えてサイトにアクセスする多数の利用者までターゲットにしている。

サイトを改ざんされた企業は、そのことを隠しておくわけにはいかない。自ら情報を公開して該当するページにアクセスした利用者に注意喚起する必要がある。新聞、テレビ等の報道やブログやニュースサイト等を通じて、ある程度は周知されてしまう。

被害企業がIT系なら、《「サイトを改ざんされた企業」というマイナスイメージ》はビジネスに影響を与える可能性がある。直販サイトが改ざんされればユーザーがその後の利用を敬遠する可能性が高まる。ウイルスや情報の盗難が実際に起きてしまえばもちろんのこと、被害が起きなくてもこのような改ざんが企業に与えるダメージは小さくないだろう。。

過去に起きたサイト改ざん事件では、ウェブサイトを公開しているサーバーのセキュリティ設定が甘く、第三者が改変できる状態になっていたり、管理者のユーザー名やパスワードが盗難されて操作されたりといった事例が大半を占めていた。しかし最近の改ざんは、サーバー上で動作しているプログラムの脆弱性(セキュリティホール)を利用することが多い。外部から想定されていないデータを送り込むことでサーバーを誤動作させ、改ざんへの足がかりにするのだ。

そのため、サーバーの管理者は設定や自分の情報管理、ウェブサイトのファイル改変チェックなどに加えて、プログラムの脆弱性に関する情報収集が欠かせない。最近では脆弱性の情報が公開されると同時に攻撃プログラムが発見される「ゼロデイアタック」も増えている。脆弱性を修正するプログラムが公開された場合はできるだけ早く適用する機動性が求められる。

その一方で、ウェブサイトではさまざまな機能を提供するために複数のプログラムを連携させることも多い。情報収集や対応の徹底はなかなか骨が折れる。

導入コストなどを重視して社内にウェブサーバーを置き、ちょっとパソコンに詳しい社員を管理者兼任にしている企業も多いようだが、セキュリティを維持し続けるのは、担当者のスキル的にも作業時間的にも困難になってはいないだろうか。

担当者を専任にしてスキルアップと作業に必要な予算、時間、権限を確保する、サーバーの維持管理を専門事業者に委託する、専門事業者の「ホスティング」と呼ばれるサービスを利用してサーバー自体も事業者のものを利用する(アドレスは変わらない)など、対策はいろいろ考えられる。

「自社サイト」の運営について、セキュリティの観点から見直しておきたい。

著者プロフィール
斎藤幾郎
フリーライター。パソコンやインターネット等の初心者向けの解説記事を中心に手がける。現在、朝日新聞土曜版「be」で「デジタル若葉マーク」を連載中。同紙「てくの生活入門」にも寄稿。近著に「パソコンで困ったときに開く本2009」(アサヒオリジナル)「グーグル100%利用術」(朝日文庫)「てくの生活入門」(講談社、一部を担当)などがある。「新刊「すごく使える!超グーグル術」(ソフトバンククリエーティブ)が2009年3月19日に発売。」

最新ウイルス情報

最新ウイルス情報
ウイルス名 危険度 発見日
(月/日/年)
1 ThreatNuker
2 Packed.Generic.210 1 02/25/09
3 W32.Ackantta.B@mm 2 02/25/09
4 Backdoor.Syzoor 1 02/25/09
5 W32.Spamuzle.E!inf 1 02/24/09
6 W32.Spamuzle.E 1 02/24/09
7 Trojan.Mdropper.AC 1 02/23/09
8 Bloodhound.PDF.8 1 02/20/09
9 SymbOS.Exy.A 1 02/20/09
10 SymbOS.Exy.B 1 02/20/09
危険度の高いウイルス情報
現在、情報はありません。

ホットトピックス

人気ダウンロード