Web改ざんで起こり得る被害やリスクと検知や監視など具体的な対応策・技術について

INDEX

    脆弱性やセキュリティホール、もしくは詐欺的手法を介したWeb改ざんが後を絶ちません。企業や組織として信頼を失わないようにするためにも、Web改ざんによる被害やリスクを起こさないようにすべきなのは明白です。
    今回はWeb改ざんに関する基礎知識、そしてWeb改ざんに対する具体的な対応策・技術についてお話します。


    Web改ざんに関する基礎知識

    はじめにWeb改ざんに関する基礎知識について簡単に説明します。

    Web改ざんとは

    Web改ざんとは、公開しているサーバーにある情報、オンラインサービス、ホームページなどが書き換えられてしまうことを指します。ドメインやサーバーの所有者や運営者の意図しない情報が発信されてしまったり、意図しない機能や使い方をされてしまったりする可能性が高い脅威です。
    例えば、公的機関の法的な情報が書き換えられてしまえば、それを信じた一般の人が誤った行動や理解をしてしまうことが考えられます。また、悪質なサイトへの誘導や悪意のあるスクリプトおよびプログラムをインストールさせられてしまうなど、間接的にサイバー攻撃に加担してしまうことも大きなリスクです。

    Web改ざんの主な手口

    Web改ざんの手口はサーバーやサイトの管理者権限の略取、デバイスの乗っ取り、サーバーの脆弱性の悪用、また権限の誤りによって、サーバー上の情報を書き換えることで、本来とは意図しない挙動をさせるものが挙げられます。
    サーバーにある情報は基本的に「閲覧はできても編集はできない状態」です。そのため、権限を持っているか、編集できる状態であれば改ざんできてしまいます。また、ディレクトリ(フォルダ)へのアクセス自体も権限が設定されているため、本来であれば情報漏えいすることはありませんし、データ改ざんもあり得ません。
    しかし、それでもWeb改ざんが起きてしまうのは、機械的なサイバー攻撃だけでなく、心理的かつ詐欺的な手法と組み合わせることで、管理者権限やIDおよびパスワードを奪われたり、乗っ取られたりしてしまうためです。

    Web改ざんで起こり得る被害やリスク

    管理者権限を奪われたり、IDやパスワードが漏洩したりしてしまえば、外部からでも簡単に設定の変更ができてしまいます。データ改ざんどころか情報漏えいに繋がる危険性もあります。また、内部不正という形で、管理者権限を持つ人、IDやパスワードを持つ人が悪意を持って操作すれば、Web改ざん、データ改ざん、情報漏えいが起こることも事実です。
    外部ユーザー的には、企業や組織の公式ページだと思ってアクセスし、何らかの情報を入力した場合、それがそのまま悪意のある第三者に送信されてしまう可能性があります。そもそも、アクセスしたページから転送させられてしまえば、フィッシングサイト、マルウェアの仕込まれたサイトによる被害やリスクにも遭遇してしまうでしょう。
    その他、金銭的な被害として損害賠償や保証、信頼や社会的立場を失う可能性、従業員や顧客からの信頼の低下など、企業や組織として存続が危ぶまれる可能性もあります。

    christina-wocintechchat-com-nRJRBhhOBqA-unsplash.jpg

    Web改ざんに対する具体的な対応策・技術について

    次にWeb改ざんに対する具体的な対応策・技術について解説します。

    CMS・OS・サーバーなどを最新の状態にアップデートする

    Web改ざんに対する具体的な対応策の基本として、CMS・OS・サーバーを常に最新かつ安全な状態にしておくということがあります。既知の課題や問題を解決しておくと同時に、新しい脆弱性にも即時対応できるようにしておくべきです。
    ただし、「CMSやOS、サーバーに関する技術やノウハウがない」ことで、放置してしまうことも考えられます。そういった場合は技術やノウハウを持つベンダーにアウトソーシングや外部委託することで「技術的リソースを確保すること」を検討してみてください。
    また、社内や組織内で利用するデバイス・OS・ソフトウェアのアップデートもしっかりと行っておきましょう。古いOS・ソフトウェア・デバイスですと、脆弱性が残ったままであり、非常に危険です。設備投資=セキュリティへの投資であることを忘れず、「今のままでも使えるから」と放置しないことをおすすめします。

    サーバーの検知やセキュリティに関するサービス、機能、オプションを利用する

    外部レンタルサーバーを借りている場合、Web改ざんを検知するサービスや機能、オプションを提供していることがあります。Web改ざんを防ぐ方法として効果的ですので、利用を検討して、導入しておきましょう。
    また、検知やセキュリティに関するサービス、機能、オプションに関する「コスト」で導入に踏みきれないことがあるかもしれません。よくよく考えていただきたいのが「何かあった時の被害」よりも、セキュリティに投資するコストの方が安く済むのは確実です。
    何かあってからでは遅い、何も起きないようにするためのコストとして、セキュリティへの投資を行いましょう。

    監視、制限や制御できる仕組みの導入

    管理者権限の奪取や乗っ取りによる被害を防ぐためにも、監視、制限、制御できる仕組みを導入しましょう。監視によって不正な操作が行われていないか、普段とは違う操作がされていないかなど、デバイスやアカウント自体の乗っ取りを監視・検知できるようにするということです。
    また、アクセスの制限や制御、適切な権限の割り振りする技術があれば、そもそも許可された人・デバイス・ネットワークからしか操作できない、もしくはアクセスすらできないようにすることもできます。
    同時に、監視ができる体制を人的なリソースとして確保しておくことも大切です。セキュリティインシデントが発生しているのに把握できていない、把握はできていても初動対応が遅いなど、人的な理由でセキュリティ性が損なわれることは避けましょう。

    外部からのサイバー攻撃と内部不正に関する対策も必須

    Web改ざんは、直接的にサーバーを狙われることもありますが、管理者権限やID・パスワードの奪取や略取、そしてデバイス自体の乗っ取りによる可能性も十分に考えられます。そのため、外部からのサイバー攻撃と内部不正の両面からセキュリティ対策を行うことが大切です。
    もし、統合的なセキュリティ体制や基盤が構築されていないのであれば、IT資産管理や情報資産管理に強いベンダーのセキュリティ製品の導入をおすすめします。セキュリティ基盤が構築されるだけでなく、多角的かつ多段的なセキュリティ教科が可能になるためです。外部からのサイバー攻撃と内部不正の両面の対策につながるということも覚えておきましょう。

    セキュリティ人材の雇用と維持と権限を持つ人のセキュリティリテラシー

    セキュリティ人材の雇用と維持、安定的なセキュリティチームの運用も必須と言えます。前述したIT資産管理や情報資産管理の仕組み・技術を持つセキュリティ製品と合わせて、セキュリティを強化していきましょう。
    また、権限を持つ人、または個人情報や顧客情報、機密情報を取り扱う人のセキュリティリテラシーの向上も忘れてはいけません。社内や組織内全体でシステム的かつセキュリティ体制によってセキュリティを維持しつつ、社内や組織内で働く経営陣・管理職・従業員各々がセキュリティに対して興味を持ち、具体的に作業や業務に落とし込むことにも注力してみてください。


    まとめ:IT資産管理や情報資産管理で一元的なセキュリティ体制を構築しよう!

    今回はWeb改ざんに関する基礎知識、そしてWeb改ざんに対する具体的な対応策・技術についてお話しました。
    Web改ざんも含めて、サイバー攻撃や内部不正は他人事ではありません。セキュリティインシデントを発生させないためにも、前もって対策し、被害を起きない、もしくは被害を最小限に留められるよう努めましょう。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、Web改ざんに関連するサイバー攻撃、内部不正への対策が強化できます。オンライン化やデジタル化に伴うリスクの軽減にもつながりますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら