企業を狙ったサイバー攻撃は毎年増加傾向となっていますが、特にWEBサイトを狙った攻撃が目立っています。

もしWEBサイトの改ざんの被害を受けた場合、管理者の意図に反する情報の発信や悪意のあるプログラムが埋め込まれて閲覧したユーザーにまで被害が及ぶことがあるため非常に危険です。

そのため、WEBサイトを管理する企業はブランドイメージを損なわないよう適切な対応を取る必要があります。

本記事では、WEBサイトが改ざんされるその手口や、被害調査の方法について解説します。

＼サイバーセキュリティの専門家へ24時間365日で無料相談／

WEBサイトの改ざんとは

WEBサイトの改ざんとは、悪意を持った第三者の手によって、WEBサイトが管理人の意図しない形で変更されてしまう行為を指します。

JPCERTが発表しているレポートによれば、全国で報告されたWEBサイト改ざんの被害件数は22年は2,861件・23年は9月時点で1,100件となっており、前年に比べると件数は減少傾向にあります。

しかし、現在も1ヶ月あたり約300～430件という大量の被害報告が寄せられており、報告されていない事案がある可能性も考慮すると、非常に多くの被害が発生し続けていることは事実です。

出典：JPCERTコーディネーションセンター

WEBサイト改ざん被害に遭うと、莫大な対応費用がかかる

WEBサイト改ざんでは、WEBサイトのコンテンツ差し替え・削除といった外観を変更される可能性だけでなく、フォームに入力したデータを窃取される・閲覧したユーザーに対してウイルスを拡散されるなど、深刻な被害が発生する可能性もあります。

仮にWEBサイトが改ざんされると、一時的なサイト閉鎖・復旧・原因究明・取引先への説明など、事後対応に大きなリソースが必要となります。ユーザーへの直接的な被害が発生していれば、損害賠償なども含めて数百万～最大で億単位の対応費用がかかるケースも想定され、早急な実情把握が求められます。

さらに、経緯や被害規模によっては企業イメージに深刻な傷が付き、その後の営業活動にまで多大な影響を及ぼす恐れもあります。

WEBサイト改ざんの手口

WEBサイト改ざんの手口は、おもに2つのパターンに分かれます。「WEBサイトの脆弱性を突く手法」と、「管理者権限アカウントを乗っ取る手法」です。

いずれも第三者による不正アクセス行為により、WEBサイトの改ざんという事故につながります。

WEBサイトの脆弱性を突くパターン

脆弱性とはセキュリティ上の欠点のことで、「セキュリティホール」と呼称されます。

WEBサイトはアプリケーションやソフトウェアで構築されており、開発元がプログラムのバグ修正やセキュリティ向上のために日々更新を行っております。定期的に最新版へ更新していれば情報を第三者から抜き取られる可能性は低くなります。しかし、社内のリソース不足などの理由で対応が遅れてしまうと攻撃を受けるリスクが非常に高まります。

脆弱性を突いたサイバー攻撃に、以下のようなものがあります。

• SQLインジェクション
• ゼロデイ攻撃
• クロスサイト･スクリプティング
• クロスサイト・リクエスト・フォージェリ（CSRF）

SQLインジェクション

SQLは、Structured Query Languageの略称で、データベースサーバを操作する命令する言語のことです。用途は、WEBサイトやECサイトのデータベースに利用者からの入力情報を送信する際に利用されます。

SQLインジェクションとは、アプリケーションの脆弱性により本来の意図ではない悪意のあるSQL文が作成され、注入(injection)されることによって、データベースのデータを不正に操作されるサイバー攻撃を指します。

脆弱性のあるWEBアプリに不正なSQLが送信された場合、外部からデータベースを操作された結果、顧客情報の窃取やWEBサイトの改ざんが行われたり、サイトに不正なスクリプト（マルウェア）が埋め込まれる恐れがあります。特にマルウェアの拡散をもたらすWEBサイト改ざんは、知らぬ間に被害者である企業が加害者となってしまう深刻な脅威です。

実際に被害を受けた会社事例をご紹介します。

2022年6月、業界大手のリサーチ・調査会社が運営している2つのサイトへSQLインジェクションのサイバー攻撃を受けた結果、合計101,988件の個人情報が流出してしまう可能性があるという発表をしました。

ゼロデイ攻撃

ゼロディ攻撃とは、サーバーのOSやソフトウェアなどに脆弱性が発見され、メーカーから更新プログラムが対策される前に行われるサイバー攻撃を指します。

なお、ゼロデイとは0日目のことで、脆弱性が見つかり修正パッチが配布される1日目（ワンデイ）よりも早く攻撃が行われることから、この名前が付きました。更新プログラムが配布される前に行われてしまう理由から根本的な対策を講じることができないため、非常に大きな脅威の１つでもあります。

クロスサイト･スクリプティング（XSS）

クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。

代表的なものとして、有名企業を装ったフィッシング詐欺サイトなどはこちらの攻撃手法に含まれます。閲覧したユーザーの情報の漏洩やマルウェア感染など二次被害、三次被害が発生する恐れがある手口です。

クロスサイト・リクエスト・フォージェリ（CSRF）

本来、ログインした利用者のみが利用できるようなWEBアプリケーションにおいて、利用者が意図したリクエストのみを処理し、意図しないリクエストは拒否されるべきです。

しかし、意図しない操作を拒否する仕組みがサイト側で構築されていない場合、攻撃者によって実行された悪意あるリクエストも識別せずそのまま受け入れてしまうことがあり、これをクロスサイト・リクエスト・フォージェリの脆弱性と呼びます。

実際に、WEBサイトにログイン状態にあるユーザーが別の罠サイトのリンクをクリックしてしまった等のアクションにより不正なリクエストが意図せず転送されてしまい、勝手に管理画面上の設定が変更されてしまったり、入力した個人情報などが攻撃者に漏洩してしまうといった被害に繋がります。

管理者権限アカウントの乗っ取り

管理者権限アカウントの乗っ取りの原因として主に次の4つがあげられます。

1. 標的型メール攻撃によるマルウェア感染
2. ソーシャルエンジニアリング（人的ミス）
3. 内部の人間による犯行
4. 認証情報を突破した不正ログイン

標的型メール攻撃によるマルウェア感染

標的型メール攻撃とは、特定の企業や組織をターゲットにしたサイバー攻撃です。マルウェアに感染した結果、管理者権限アカウントを乗っ取られ、WEBサイトを改ざんされるケースがあります。

攻撃の起点は主にメールが多く、業務に関係するメールを装い、悪意のあるウイルスを添付したり、不正なサイトへ誘導し端末をマルウェア感染させる手口です。もしメールを開封するとたちまち感染し、端末の情報が攻撃者に送信されてしまい、保有しているアカウントの乗っ取りや機密情報の漏洩などのリスクがあります。

標的型メール攻撃で有名なものとして、Emotetがあげられます。日本国内においては、2022年2月頃からEmotet感染が急速に流行し、被害が拡大した状況を覚えている人は多いのではないでしょうか。

ちなみにEmotetに感染すると、以下のような被害が発生する可能性があります。

• 個人情報の漏洩
• 重要な業務データの漏洩・ユーザー名やパスワードなど認証情報の不正利用
• ランサムウェアに感染し、重要なデータやシステムが暗号化または破壊されることにより業務停止など莫大な損失を被る
• Eメール情報（送受信履歴やアドレス帳）の窃取
• Eメールによる更なる拡散

いずれにせよ、管理者権限のアカウントが乗っ取られると、業務の停止に追い込まれるなど最悪の想定も覚悟する必要があります。

ソーシャルエンジニアリング（人的ミス）

ソーシャルエンジニアリングとは、情報通信技術を利用しないハッキング手口のことで、心理的に生まれる隙を利用して認証情報を取得します。

• ログイン中の画面を肩越しに盗み見てパスワードを覚える
• ふせんに書かれたログイン情報を盗み見る
• 情報システム担当者などを装って電話でログイン情報を聞き出す

上記のような手口が代表的で、原始的ではありますが被害件数は多く、甘く見てはいけない手口です。

内部の人間による犯行

人間の脆弱性として、管理者権限を保有しない人間による内部不正も考えられます。現職者により何かしらのシステムの不備を突かれるパターンや、退職者が在職中に入手した認証情報を利用して不正にログインするパターンがあります。

複数サービスなどでアカウントの使い回しや簡単なパスポート設定をしていると起こりやすく、例え十分安全なパスワードを使用していても、パスワード管理の仕組みがずさんであれば簡単に入手できてしまうため、社内管理の仕組にも注意が必要です。

認証情報を突破した不正ログイン

ID・パスワードが不明の状態でも、以下のような手法によって認証情報を突破されてしまうケースがあります。

• 総当たり攻撃（ブルートフォース攻撃）
• 辞書攻撃
• リスト型攻撃

例えば4桁の数字がパスワードになっている場合は、0000～9999までのすべての組み合わせのうちに必ず正解があり、これを総当たりで試す手法を「総当たり攻撃（ブルートフォース攻撃）」と言います。

また、パスワードに使用されることの多い文字列を優先的に試していく「辞書攻撃」、不正に入手されたID・パスワードのリストを片っ端から試していく「リスト型攻撃」といった手法もあります。

考えられる対策は、多要素認証の導入やログイン失敗回数に応じて一定時間ログインを制限したりユーザーに警告通知を送るものなどがありますが、万が一突破されてしまえば管理アカウントを容易に乗っ取ることができてしまいます。

実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。

デジタルデータフォレンジックでは、WEBサイト改ざんの原因や脆弱性の調査、再発防止策まで一気通貫で対応可能です。打合せから費用見積りまでは無料でご対応しているので、被害に遭われた際はお気軽にご相談ください。

WEBサイト改ざんによって起こりうる被害

WEBサイト改ざんによる被害が発生すると、企業の信用やブランドイメージの失墜に繋がるばかりではなく、顧客や取引先へ損害賠償の責任リスクが生まれ、取引停止などの結果につながる可能性があります。

具体的な被害事例は以下のようなものになります。

• WEBサイトからウイルスを配布
• ユーザーを悪質なサイトへ誘導
• クレジットカードや銀行口座などの個人情報の漏洩

WEBサイトからウイルスを配布

こちらは、トヨタ自動車が被害を受けた事例になります。

2013年6月にトヨタ自動車が運営しているWEBサイトが第三者による不正アクセスをうけました。改ざんされた内容は、ユーザーが見たい情報を中心にトップページ、ニュース一覧、IRニュース、車種トップページなどが対象で、閲覧すると不正なプログラムが自動的に実行される状態が１０日間続きました。この異常事態に対し、トヨタ自動車は被害届の提出や当該サーバーの運用を停止など多岐にわたる復旧作業にとりかかりました。

上記のような過去の事例があったように、WEBサイトを改ざんされてしまうと訪問したユーザーに悪質なウイルス配布する事態が起こってしまうのです。

ユーザーを悪質なサイトへ誘導

次は、地方自治体が被害を受けた事例になります。

2022年9月に北九州市が運営している「北九州市買い物応援ウェブサイト」が何者かにより改ざんされ児童ポルノリンクが掲載されました。

北九州市の発表では、2022年9月13日、警察から業務委託を受けWEBサイトを巡回している事業者から「運営サイトが改ざんされ児童ポルノリンクが掲載されている」旨の連絡をうけ確認したところ、実際に改ざんされていることが判明したため、WEBサイト運営の委託先事業者に連絡し、一事閉鎖・修正措置を講じています。

北九州市によると、問題の改ざん被害は2022年9月12日～2022年9月13日にかけて生じていたものと見られます。改ざんは被害サイトにのみ生じており、市が管理する他のサイトには生じていないと見られますが、速やかに点検を行うとのこと。

なお、被害サイトには個人情報は記録されておらず、市は情報流出は否定しています。

もし、改ざんされてしまうと管理者が意図しない形で情報が拡散されてしまう恐れがあり運営に悪影響を及ぼします。

クレジットカードや銀行口座などの個人情報の漏洩

クレジットカード情報が漏洩した事例をご紹介します。

2022年７月にECサイト用入力フォームプログラムからクレジットカード番号やカード情報に紐づけしているセキュリティコードが漏洩しました。開発元の都内のIT企業によると、専門機関へ調査を依頼した結果、数千件以上のクレジットカード情報が外部へ流出したことが判明しました。

WEBサイト改ざんの対処法

WEBサイト改ざん被害に遭った場合の対処法は以下の通りです。

1. 端末隔離・WEBサイトの停止
2. アクセスログ等の証拠保全
3. WEBサイトにかかわるすべてのパスワードを変更
4. バックアップデータからサイトを復元
5. 被害状況・侵入経路の調査
6. 警察へ通報・相談

まずはサイトの一時閉鎖や復旧などの初動対応が重要ですが、必ず被害状況や原因の調査まで行いましょう。

WEBサイトを改ざんされている場合は既に一度不正アクセスされた状態であり、ユーザーの個人情報やクレカ情報などが流出していることもあります。

調査を怠った結果、再度WEB改ざん被害に遭って被害規模が拡大してしまったり、対応が不適切だとして個人情報保護委員会から最大1億円以下の罰金支払いを命じられ莫大な対応費用がかかる可能性があります。

端末隔離・WEBサイトの停止

まずは、これ以上の被害が広がらないようにWEBサイトをメンテナンスモードに切り替え、ユーザーがアクセスできないようにしましょう。

メンテナンスモードがすぐに準備できなければ、一時的にサイトにアクセスできない状態にする形でも良いでしょう。アクセスが増えて被害件数が拡大するよりはまだ良いため、通信を遮断することを最優先してください。

アクセスログ等の証拠保全

バックアップデータからサイトを復元する前に、アクセスログ等の証拠を可能な限り確保してください。

ユーザーのアクセスログやサイトの更新履歴などは、被害が発生した期間・件数と規模・犯人推測のためにも重要な証拠となります。過去のログは自動で上書きされていってしまうため、被害発覚時点で確認できる限りのログを残しておかなければ原因特定が困難になる可能性があります。

WEBサイトにかかわるすべてのパスワードを変更

WEB改ざん被害に遭った時点で、WEB上に保存しているパスワードが不正に盗まれている可能性があります。

もし悪用されるとさらなる被害に繋がる危険性があるため、WEBサイトに関わるパスワードはすべて変更しましょう。

被害状況・侵入経路の調査

サイト停止・証拠ログの保全・パスワードの変更まで対応が完了したら、端末やネットワークを調査することでWEB改ざん被害状況の調査や原因特定を行います。

このときに活用されるのがフォレンジック調査という手法で、PCやサーバーなどの端末に残ったデータ・ログからWEB改ざん被害の詳細を調査することができます。

警察へ通報・相談

フォレンジック調査とあわせて、最寄りの警察署に通報・相談することも推奨しています。WEBサイトの改ざんはサイバー犯罪に該当し、場合によっては警察による捜査も必要になる可能性があります。

バックアップデータからサイトを復元

バックアップがある場合はサイトを復元しましょう。

過去のバックアップデータが既に不正に書き換えられた状態である可能性もあるため、不正な記述が埋め込まれていないことを必ず確認する必要があります。

WEBサイト改ざんはフォレンジック調査に依頼する