企業を狙ったサイバー攻撃は毎年増加傾向となっていますが、特にWEBサイトを狙った攻撃が目立っています。

もしWEBサイトの改ざんの被害を受けた場合、管理者の意図に反する情報の発信や悪意のあるプログラムが埋め込まれて閲覧したユーザーにまで被害が及ぶことがあるため非常に危険です。

そのため、WEBサイトを管理する企業はブランドイメージを損なわないよう適切な対応を取る必要があります。

本記事では、WEBサイトが改ざんされるその手口や、被害調査の方法について解説します。

＼サイバーセキュリティの専門家へ24時間365日で無料相談／

WEBサイトの改ざんとは

WEBサイトの改ざんとは、悪意を持った第三者の手によって、WEBサイトが管理人の意図しない形で変更されてしまう行為を指します。

JPCERTが発表しているレポートによれば、全国で報告されたWEBサイト改ざんの被害件数は22年は2,861件・23年は9月時点で1,100件となっており、前年に比べると件数は減少傾向にあります。

しかし、現在も1ヶ月あたり約300～430件という大量の被害報告が寄せられており、報告されていない事案がある可能性も考慮すると、非常に多くの被害が発生し続けていることは事実です。

出典：JPCERTコーディネーションセンター

WEBサイト改ざん被害に遭うと、莫大な対応費用がかかる

WEBサイト改ざんでは、WEBサイトのコンテンツ差し替え・削除といった外観を変更される可能性だけでなく、フォームに入力したデータを窃取される・閲覧したユーザーに対してウイルスを拡散されるなど、深刻な被害が発生する可能性もあります。

仮にWEBサイトが改ざんされると、一時的なサイト閉鎖・復旧・原因究明・取引先への説明など、事後対応に大きなリソースが必要となります。ユーザーへの直接的な被害が発生していれば、損害賠償なども含めて数百万～最大で億単位の対応費用がかかるケースも想定され、早急な実情把握が求められます。

さらに、経緯や被害規模によっては企業イメージに深刻な傷が付き、その後の営業活動にまで多大な影響を及ぼす恐れもあります。

デジタルデータフォレンジックでは、一秒でも早い事実確認・被害最小化のお手伝いをさせていただきます。WEBサイト改ざんの原因・被害範囲調査、犯人の特定、再発防止策のご提案にもご対応していますので、もし被害に遭われた場合はいつでもご相談ください。

※１　累計ご相談件数32,377件を突破（期間：2016年9月1日～）
※２　データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。（集計期間：2007年～2020年）

WEBサイト改ざんの手口

WEBサイト改ざんの手口は、おもに2つのパターンに分かれます。「WEBサイトの脆弱性を突く手法」と、「管理者権限アカウントを乗っ取る手法」です。

いずれも第三者による不正アクセス行為により、WEBサイトの改ざんという事故につながります。

WEBサイトの脆弱性を突くパターン

脆弱性とはセキュリティ上の欠点のことで、「セキュリティホール」と呼称されます。

WEBサイトはアプリケーションやソフトウェアで構築されており、開発元がプログラムのバグ修正やセキュリティ向上のために日々更新を行っております。定期的に最新版へ更新していれば情報を第三者から抜き取られる可能性は低くなります。しかし、社内のリソース不足などの理由で対応が遅れてしまうと攻撃を受けるリスクが非常に高まります。

脆弱性を突いたサイバー攻撃に、以下のようなものがあります。

• SQLインジェクション
• ゼロデイ攻撃
• クロスサイト･スクリプティング
• クロスサイト・リクエスト・フォージェリ（CSRF）

SQLインジェクション

SQLは、Structured Query Languageの略称で、データベースサーバを操作する命令する言語のことです。用途は、WEBサイトやECサイトのデータベースに利用者からの入力情報を送信する際に利用されます。

SQLインジェクションとは、アプリケーションの脆弱性により本来の意図ではない悪意のあるSQL文が作成され、注入(injection)されることによって、データベースのデータを不正に操作されるサイバー攻撃を指します。

脆弱性のあるWEBアプリに不正なSQLが送信された場合、外部からデータベースを操作された結果、顧客情報の窃取やWEBサイトの改ざんが行われたり、サイトに不正なスクリプト（マルウェア）が埋め込まれる恐れがあります。特にマルウェアの拡散をもたらすWEBサイト改ざんは、知らぬ間に被害者である企業が加害者となってしまう深刻な脅威です。

実際に被害を受けた会社事例をご紹介します。

2022年6月、業界大手のリサーチ・調査会社が運営している2つのサイトへSQLインジェクションのサイバー攻撃を受けた結果、合計101,988件の個人情報が流出してしまう可能性があるという発表をしました。

ゼロデイ攻撃

ゼロディ攻撃とは、サーバーのOSやソフトウェアなどに脆弱性が発見され、メーカーから更新プログラムが対策される前に行われるサイバー攻撃を指します。

なお、ゼロデイとは0日目のことで、脆弱性が見つかり修正パッチが配布される1日目（ワンデイ）よりも早く攻撃が行われることから、この名前が付きました。更新プログラムが配布される前に行われてしまう理由から根本的な対策を講じることができないため、非常に大きな脅威の１つでもあります。

クロスサイト･スクリプティング（XSS）

クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。

代表的なものとして、有名企業を装ったフィッシング詐欺サイトなどはこちらの攻撃手法に含まれます。閲覧したユーザーの情報の漏洩やマルウェア感染など二次被害、三次被害が発生する恐れがある手口です。

クロスサイト・リクエスト・フォージェリ（CSRF）

本来、ログインした利用者のみが利用できるようなWEBアプリケーションにおいて、利用者が意図したリクエストのみを処理し、意図しないリクエストは拒否されるべきです。

しかし、意図しない操作を拒否する仕組みがサイト側で構築されていない場合、攻撃者によって実行された悪意あるリクエストも識別せずそのまま受け入れてしまうことがあり、これをクロスサイト・リクエスト・フォージェリの脆弱性と呼びます。

実際に、WEBサイトにログイン状態にあるユーザーが別の罠サイトのリンクをクリックしてしまった等のアクションにより不正なリクエストが意図せず転送されてしまい、勝手に管理画面上の設定が変更されてしまったり、入力した個人情報などが攻撃者に漏洩してしまうといった被害に繋がります。

管理者権限アカウントの乗っ取り

管理者権限アカウントの乗っ取りの原因として主に次の4つがあげられます。

1. 標的型メール攻撃によるマルウェア感染
2. ソーシャルエンジニアリング（人的ミス）
3. 内部の人間による犯行
4. 認証情報を突破した不正ログイン

標的型メール攻撃によるマルウェア感染

標的型メール攻撃とは、特定の企業や組織をターゲットにしたサイバー攻撃です。マルウェアに感染した結果、管理者権限アカウントを乗っ取られ、WEBサイトを改ざんされるケースがあります。

攻撃の起点は主にメールが多く、業務に関係するメールを装い、悪意のあるウイルスを添付したり、不正なサイトへ誘導し端末をマルウェア感染させる手口です。もしメールを開封するとたちまち感染し、端末の情報が攻撃者に送信されてしまい、保有しているアカウントの乗っ取りや機密情報の漏洩などのリスクがあります。

標的型メール攻撃で有名なものとして、Emotetがあげられます。日本国内においては、2022年2月頃からEmotet感染が急速に流行し、被害が拡大した状況を覚えている人は多いのではないでしょうか。

ちなみにEmotetに感染すると、以下のような被害が発生する可能性があります。

• 個人情報の漏洩
• 重要な業務データの漏洩・ユーザー名やパスワードなど認証情報の不正利用
• ランサムウェアに感染し、重要なデータやシステムが暗号化または破壊されることにより業務停止など莫大な損失を被る
• Eメール情報（送受信履歴やアドレス帳）の窃取
• Eメールによる更なる拡散

いずれにせよ、管理者権限のアカウントが乗っ取られると、業務の停止に追い込まれるなど最悪の想定も覚悟する必要があります。

ソーシャルエンジニアリング（人的ミス）

ソーシャルエンジニアリングとは、情報通信技術を利用しないハッキング手口のことで、心理的に生まれる隙を利用して認証情報を取得します。

• ログイン中の画面を肩越しに盗み見てパスワードを覚える
• ふせんに書かれたログイン情報を盗み見る
• 情報システム担当者などを装って電話でログイン情報を聞き出す

上記のような手口が代表的で、原始的ではありますが被害件数は多く、甘く見てはいけない手口です。

内部の人間による犯行

人間の脆弱性として、管理者権限を保有しない人間による内部不正も考えられます。現職者により何かしらのシステムの不備を突かれるパターンや、退職者が在職中に入手した認証情報を利用して不正にログインするパターンがあります。

複数サービスなどでアカウントの使い回しや簡単なパスポート設定をしていると起こりやすく、例え十分安全なパスワードを使用していても、パスワード管理の仕組みがずさんであれば簡単に入手できてしまうため、社内管理の仕組にも注意が必要です。

認証情報を突破した不正ログイン

ID・パスワードが不明の状態でも、以下のような手法によって認証情報を突破されてしまうケースがあります。

• 総当たり攻撃（ブルートフォース攻撃）
• 辞書攻撃
• リスト型攻撃

例えば4桁の数字がパスワードになっている場合は、0000～9999までのすべての組み合わせのうちに必ず正解があり、これを総当たりで試す手法を「総当たり攻撃（ブルートフォース攻撃）」と言います。

また、パスワードに使用されることの多い文字列を優先的に試していく「辞書攻撃」、不正に入手されたID・パスワードのリストを片っ端から試していく「リスト型攻撃」といった手法もあります。

考えられる対策は、多要素認証の導入やログイン失敗回数に応じて一定時間ログインを制限したりユーザーに警告通知を送るものなどがありますが、万が一突破されてしまえば管理アカウントを容易に乗っ取ることができてしまいます。

実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。調査してみると重大な脆弱性が放置されていたことが発覚するケースもあるため、WEBサイトの改ざん被害に遭った際は一刻も早く専門家による原因調査を行うことが望ましいです。

デジタルデータフォレンジックでは、WEBサイト改ざんの原因や脆弱性の調査、再発防止策まで一気通貫で対応可能です。打合せから費用見積りまでは無料でご対応しているので、被害に遭われた際はお気軽にご相談ください。

WEBサイト改ざんによって起こりうる被害

WEBサイト改ざんによる被害が発生すると、企業の信用やブランドイメージの失墜に繋がるばかりではなく、顧客や取引先へ損害賠償の責任リスクが生まれ、取引停止などの結果につながる可能性があります。

具体的な被害事例は以下のようなものになります。

• WEBサイトからウイルスを配布
• ユーザーを悪質なサイトへ誘導
• クレジットカードや銀行口座などの個人情報の漏洩

WEBサイトからウイルスを配布

こちらは、トヨタ自動車が被害を受けた事例になります。

2013年6月にトヨタ自動車が運営しているWEBサイトが第三者による不正アクセスをうけました。改ざんされた内容は、ユーザーが見たい情報を中心にトップページ、ニュース一覧、IRニュース、車種トップページなどが対象で、閲覧すると不正なプログラムが自動的に実行される状態が１０日間続きました。この異常事態に対し、トヨタ自動車は被害届の提出や当該サーバーの運用を停止など多岐にわたる復旧作業にとりかかりました。

上記のような過去の事例があったように、WEBサイトを改ざんされてしまうと訪問したユーザーに悪質なウイルス配布する事態が起こってしまうのです。

ユーザーを悪質なサイトへ誘導

次は、地方自治体が被害を受けた事例になります。

2022年9月に北九州市が運営している「北九州市買い物応援ウェブサイト」が何者かにより改ざんされ児童ポルノリンクが掲載されました。

北九州市の発表では、2022年9月13日、警察から業務委託を受けWEBサイトを巡回している事業者から「運営サイトが改ざんされ児童ポルノリンクが掲載されている」旨の連絡をうけ確認したところ、実際に改ざんされていることが判明したため、WEBサイト運営の委託先事業者に連絡し、一事閉鎖・修正措置を講じています。

北九州市によると、問題の改ざん被害は2022年9月12日～2022年9月13日にかけて生じていたものと見られます。改ざんは被害サイトにのみ生じており、市が管理する他のサイトには生じていないと見られますが、速やかに点検を行うとのこと。

なお、被害サイトには個人情報は記録されておらず、市は情報流出は否定しています。

もし、改ざんされてしまうと管理者が意図しない形で情報が拡散されてしまう恐れがあり運営に悪影響を及ぼします。

クレジットカードや銀行口座などの個人情報の漏洩

クレジットカード情報が漏洩した事例をご紹介します。

2022年７月にECサイト用入力フォームプログラムからクレジットカード番号やカード情報に紐づけしているセキュリティコードが漏洩しました。開発元の都内のIT企業によると、専門機関へ調査を依頼した結果、数千件以上のクレジットカード情報が外部へ流出したことが判明しました。

WEBサイト改ざんの対処法

WEBサイト改ざん被害に遭った場合の対処法は以下の通りです。

1. 端末隔離・WEBサイトの停止
2. アクセスログ等の証拠保全
3. WEBサイトにかかわるすべてのパスワードを変更
4. バックアップデータからサイトを復元
5. 被害状況・侵入経路の調査
6. 警察へ通報・相談

まずはサイトの一時閉鎖や復旧などの初動対応が重要ですが、必ず被害状況や原因の調査まで行いましょう。

WEBサイトを改ざんされている場合は既に一度不正アクセスされた状態であり、ユーザーの個人情報やクレカ情報などが流出していることもあります。

調査を怠った結果、再度WEB改ざん被害に遭って被害規模が拡大してしまったり、対応が不適切だとして個人情報保護委員会から最大1億円以下の罰金支払いを命じられ莫大な対応費用がかかる可能性があります。

端末隔離・WEBサイトの停止

まずは、これ以上の被害が広がらないようにWEBサイトをメンテナンスモードに切り替え、ユーザーがアクセスできないようにしましょう。

メンテナンスモードがすぐに準備できなければ、一時的にサイトにアクセスできない状態にする形でも良いでしょう。アクセスが増えて被害件数が拡大するよりはまだ良いため、通信を遮断することを最優先してください。

アクセスログ等の証拠保全

バックアップデータからサイトを復元する前に、アクセスログ等の証拠を可能な限り確保してください。

ユーザーのアクセスログやサイトの更新履歴などは、被害が発生した期間・件数と規模・犯人推測のためにも重要な証拠となります。過去のログは自動で上書きされていってしまうため、被害発覚時点で確認できる限りのログを残しておかなければ原因特定が困難になる可能性があります。

WEBサイトにかかわるすべてのパスワードを変更

WEB改ざん被害に遭った時点で、WEB上に保存しているパスワードが不正に盗まれている可能性があります。

もし悪用されるとさらなる被害に繋がる危険性があるため、WEBサイトに関わるパスワードはすべて変更しましょう。

被害状況・侵入経路の調査

サイト停止・証拠ログの保全・パスワードの変更まで対応が完了したら、端末やネットワークを調査することでWEB改ざん被害状況の調査や原因特定を行います。

このときに活用されるのがフォレンジック調査という手法で、PCやサーバーなどの端末に残ったデータ・ログからWEB改ざん被害の詳細を調査することができます。

フォレンジック調査の流れ

WEBサイト改ざんが発生した際、フォレンジック調査を行うかどうか未確定の段階でも、まずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、場合によっては証拠となるデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

今後必要な対応のプロセス整理のためにも、まずは専門家に相談しましょう。

DDF（デジタルデータフォレンジック）では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

※１　累計ご相談件数32,377件を突破（期間：2016年9月1日～）
※２　データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。（集計期間：2007年～2020年）

警察へ通報・相談

フォレンジック調査とあわせて、最寄りの警察署に通報・相談することも推奨しています。WEBサイトの改ざんはサイバー犯罪に該当し、場合によっては警察による捜査も必要になる可能性があります。

バックアップデータからサイトを復元

バックアップがある場合はサイトを復元しましょう。

過去のバックアップデータが既に不正に書き換えられた状態である可能性もあるため、不正な記述が埋め込まれていないことを必ず確認する必要があります。

WEBサイト改ざんの調査は専門業者に相談する

WEBサイトが改ざんされた場合、専門的なノウハウを持たない中で調査を行っても、正確な実態把握は、ほぼできません。また感染が疑われる場合、むやみに操作してしまうと、感染経路が困難となり、被害の全容が掴みにくくなる恐れがあります。

特に法人の場合、もし電話番号など個人識別情報の漏えいが確認された場合、2022年4月より「改正個人情報保護法」に基づき、被害者及び個人情報保護委員会まで被害報告が義務付けられています。

しかし、自社調査だけでは、客観性の担保や正確性の観点から不適切とみなされてしまうこともあります。

一方、WEBサイト改ざん調査に対応した業者では、デジタル機器を解析する「フォレンジック」という特殊技術を活用することで、どのようなマルウェアに感染したか、もしくは感染経路や情報漏えいの有無などを適切に調査することが可能です。

「フォレンジック」とは、パソコンやスマートフォンの調査・解析を行う技術であり、端末内に残されたログから、ハッキングなどの不正行為や、流出情報を調査することが可能となっています。

なお、WEBサイト改ざんのフォレンジック調査を行うメリットは、主に次の2つがあります。

①専門エンジニアの詳細な調査結果が得られる

フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでWEBサイト改ざんの被害を確認できるため、社内や個人で調べるよりも正確にハッキング被害の実態を確認することができます。

また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。

②セキュリティの脆弱性を発見し、再発を防止できる

フォレンジック調査では、ウイルスの感染経路や被害の程度を明らかにし、現在のセキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。

また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。

※１　累計ご相談件数32,377件を突破（期間：2016年9月1日～）
※２　データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。（集計期間：2007年～2020年）

DDFにおけるWEBサイト改ざん調査の流れ

デジタルデータフォレンジック（DDF）では、以下のような流れでWSBサイト改ざん調査のご相談を承っております。当社では、作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジックとは、デジタル機器から 法的証拠に関わる情報を抽出する手法です。
「フォレンジック(forensics)」は、法廷での立証をはじめ、従業員の不正や犯罪の調査、ハッキングやマルウェアなどのセキュリティを脅かす脅威の特定に活用される技術です。DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

フォレンジック調査はDDFへ

デジタルデータフォレンジックでは、ウイルスの感染調査やハッキング被害調査を始め、国内売上トップクラスのデータ復旧技術を活用し、パソコンやスマートフォンに残されたログの解析も行っています。ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで32,377件以上を数えます。お困りの際はデジタルデータフォレンジックまでご相談ください。

 

WEBサイト改ざんへの対策法

WEBサイト改ざんの被害を防ぐためには、ここでご紹介する対策が有効です。

OSやソフトウェアの定期更新

WEBサイトの改ざんはアプリやOSの脆弱性をついたケースが多いのでOSやソフトウェアの定期更新をおすすめします。アプリやOSで何かしらの脆弱性が発見された場合、開発者は問題を解消するために修正プログラムを作成し、ソフトウェアの更新として修正プログラムを配布します。そのため、ユーザーはソフトウェアを更新することでWEBサイト改ざんのリスクを低減することが出来ます。

多要素認証の導入

多要素認証とは、複数の要素を組み合わせた認証方式です。パスワードの他に別途コード入力を求めることで不正ログインからWEBサイトの改ざんを防ぐことができます。

セキュリティ対策製品の導入

WEBサイトの改ざんを防ぐには、システムの侵入を防止するセキュリティ対策製品の導入が一番です。外部からの不正な通信を一切遮断する機能や怪しい通信を監視する機能などセキュリティを強固にする製品の導入をおすすめします。

脆弱性診断・ペネトレーションテストの実施

脆弱性診断やペネトレーションテストを実施することで、社内のシステムやサーバーの脆弱性を可視化することができます。

脆弱性診断とは、システムの脆弱性を洗い出すもので、ペネトレーションテストとは、見つかった脆弱性を利用して実際のサイバー攻撃を疑似攻撃の形で再現し、WEBサイトの改ざんが可能か、個人情報の窃取ができるような状態かといったテストを行うものです。

こういった診断によって自社のセキュリティレベルを可視化することができるので、必要な対策項目も明瞭になります。

デジタルデータフォレンジックではセキュリティ診断（脆弱性診断）やペネトレーションテストのサービスも提供しています。WEBサイト改ざん被害に遭った企業様はもちろん、現時点で被害は発生していなくても今後のため対策を講じておきたい企業様にもおすすめです。

打合せからお見積りの作成までは無料でご対応可能ですので、お気軽にご相談ください。