Webサイト改ざん

宮城県関連サイトが改ざん被害で閉鎖

宮城県関連サイトが改ざん被害で閉鎖

2月19日、宮城県食産業振興課の事務局が運営する「県食品輸出促進協議会」のWebサイトが外部からの不正アクセスにより、トップページが改ざんされているのが分かりました。 当事務局の発表によると、トップページには、英文で仮想通貨の支払いを求める文章が表示されていたとのこと。当サイトには、事業概要や業者の商品などについて掲載されていますが、個人情報は含まれていないとのことで、改ざんされたWebサイト閲覧によってウイルス感染したとの被害は確認されていません。 今回の被害の原因については、Webサイト管理を委託する業者のサーバが不正アクセスを受けたことが原因とみられています。今回の被害を受けて、当協議会はWebサイトを閉鎖。委託業者と原因を調査しています。 <図1>宮城県食品輸出促進協議会の改ざんについて掲載する宮城県のサイト Webサイト改ざん被害 JPCERT/CCが公表しているWebサイト改ざん被害の統計件数によると、2015年は2701 件。2016年は3575件。2017年1月~6月までの間で1428件となっています。 Webサイトを開設している企業や組織は規模の大小を問わず、数多くあります。 かつて、Webサイト改ざん被害は大企業のWebサイトをターゲットに攻撃を仕掛けるものでありましたが、セキュリティ対策に充実した予算を投入できる大企業をターゲットにしたものから、専任管理者も少なく、セキュリティに予算をかけにくい中小企業へ被害が増える傾向にシフトしています。 <図2>Webサイト改ざん件数の推移(JPCERT/CC掲載資料より引用) Webサイトに対する代表的な攻撃手法 OSコマンドインジェクション 内部でOSコマンドを呼び出すWebアプリケーションの脆弱性を悪用し、外部から不正なOSコマンドを実行させる攻撃のことです。 SQLインジェクション 内部のデータベースと通信するWebアプリケーションの脆弱性を悪用し、外部からデータベースに不正なSQLコマンドを実行する。 クロスサイトリクエストフォージェリ(CSRF) 情報の書き込み、設定の変更、注文の確定等を行うWebアプリケーションへ直接リクエストを送信するような罠ページへユーザーを誘導する攻撃のことです。 クロスサイトスクリプティング(XSS) 動的に生成されるページの脆弱性を悪用し、任意のタグやスクリプト等を埋め込むよう仕向ける攻撃です。 Webサイトのセキュリティ対策 Webサイトは大企業や中小企業問わず、個人でもブログを運営するなど広い範囲で活用されてきています。Webサイトへの攻撃被害は、「サイトの改ざん」だけではなく、「不正アクセス」や「個人情報漏洩」などの被害をもたらします。 Webサイトを安心して運用するために、主なWebセキュリティ対策をご紹介します。 1.ソフトウェアやプラグインのバージョンを最新にする ※Wordpressの場合は、プラグインの脆弱性、テーマのバージョンについて定期的に情報収集しておきましょう 2.ログインIDとパスワードを堅牢にする ※アカウントの使いまわしや推測されやすい簡単なパスワードは控えましょう。 3.不正な入力値を読み込まないよう、エスケープ処理を行う 4.データは小まめにバックアップを取っておく 5.脆弱性診断によってセキュリティリスクを発見・解消する 6.通信は、SSL化により暗号化通信にしておく…
WordPress用プラグイン「WP Statistics」にSQLインジェクションの脆弱性

WordPress用プラグイン「WP Statistics」にSQLインジェクションの脆弱性

アメリカのセキュリティベンダーSucuriによると、アクセス解析に用いるWordpress用プラグインの「WP Statistics」にSQLインジェクションの脆弱性が存在すると同社のブログで発表しました。同脆弱性は、ユーザの提供するデータ処理が原因としています。 「WP Statistics」とは、ユーザやセッション数などの統計を図ることができるアクセス解析のプラグインで30万以上のウェウサイトにインストールされているとみられています。 同社がプラグインの開発会社に連絡し、6月29日に脆弱性を修正したWP Statistics(バージョン12.0.8)をリリース。現在の同プラグイン最新バージョンは(12.0.9)となっている。 SQLインジェクションとは SQLインジェクションとは、内部のデータベースサーバにアクセスするWebアプリケーションの脆弱性を突き、データベースサーバへ送信するSQLコマンドに任意の不正なコマンドを挿入する攻撃方法です。 技術的な部分では、SQLインジェクションを防ぎ、安全にSQLコマンドを実行するには、SQL文のテンプレートとなる文字列とパラメータの組を安全に処理する「静的プレースホルダ(バインド機構、プリペアード・ステートメント)」を用いることが重要です。 <図1>SQLインジェクションのイメージ図 さいごに 同プラグインの古いバージョンを使用されているユーザは開発元の情報を確認し、直ちに最新バージョンにアップデートを行いましょう。 また、SQLインジェクション等を狙う不正なアクセスを遮断するために、サーバやUTMにおいてWAF(Webアプリケーションファイアウォール)を設置することはある程度の効果が見込めるものの、様々な脆弱性の根本的な対策のため、Webアプリケーション診断を受けることも必要といえるでしょう。 当社のセキュリティ診断サービスについては、こちらからご覧ください 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Webアプリケーションフレームワークの「Apache Struts2」の脆弱性を突いた不正アクセスやWebサイト改ざんなどの被害が相次いで発生しています。 「Apache Struts2」の脆弱性による危険性はIPA(情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などから3月8日に既に注意喚起が行われていました。 セキュリティベンダー大手のラックによると、3月7日から「Apache Struts2」脆弱性に対する攻撃が増加しており、3月9日だけで攻撃被害や重要インシデントが10件超発生したとのこと。 攻撃手法は、ウェブサイトへのバックドアの設置やIPS/IDSによる検知回避を狙ったSSL・TLS暗号化通信を介しての攻撃が観測されています。 また、今回の攻撃の特徴の一つとして、URLへ攻撃コードを埋め込むのではなく、「Content-Type」というHTTPのヘッダーに挿入されることから、ログの取得設定にもよるが攻撃の痕跡がログに残らない可能性も指摘されています。 <図1>インシデント通知推移(ラック掲載資料より引用) 沖縄電力運営Webサイトへの攻撃被害 3月15日、沖縄電力によると、同社が運営するWebサイト「停電情報公開サービス」が「Apache Struts2」の脆弱性を突かれ、第3者による不正アクセスによる情報漏洩、またはWebサイトの改ざん被害が発生しました。 同サイトの希望者に停電情報を配信する「メール配信サービス」に登録している顧客情報6478件(メールアドレス、ニックネーム、停電情報の配信希望地域)が情報流出した可能性が高いとのことです。 ニッポン放送のWebサイトへも攻撃被害 3月17日ニッポン放送は、同社が運営する音声ネット配信サービス「Radital(ラジタル)」のWebサイトが不正アクセスを受け、サイトの改ざん被害と個人情報が流出したとの発表を行いました。 同社のサイトへの不正アクセスは、沖縄電力運営サイト同様に、「Apache Struts2」の脆弱性を利用したものでした。 流出したとされる個人情報は、「Radital」の商品発送フォームから作成された 氏名・住所・電話番号・メールアドレス11,330件(2012年10月18日~2017年3月1日の期間の利用者)。 「Radital」会員のメールアドレス・ニックネーム・生年月45,984件(2012年9月3日~2017年3月11日の期間の登録者)とされています。 ※氏名・住所・電話番号・クレジットカード情報は含みません。 さいごに 「Apache Struts2」の脆弱性に関して注意喚起が行われている中で、脆弱性を利用した攻撃被害が相次いで発生しました。 被害にあった中には、「Apache Struts2」の脆弱性について把握していながらも、対応協議中に被害に遭うケースなどもあったようです。 なお、今回の件は公式サポートが終了した「Apache Struts 1」への影響は不明とのことです。 影響を受けるバージョンは下記のバージョンです。…
複数でWebサイト改ざん被害。身に覚えのない「index_old.php」に注意

複数でWebサイト改ざん被害。身に覚えのない「index_old.php」に注意

複数でWebサイト改ざん被害。身に覚えのない「index_old.php」に注意 11月14日、警察庁は、攻撃者によってウェブサーバー上へ「index_old.php」と題した不正なファイルが設置される被害が複数確認されていることから、不正なファイルの設置によるWebサイト改ざん被害への注意喚起を行いました。 この不正なファイルは、indexファイルに偽装した「index_old.php」との名称が付けられており、改ざんにより、トップページに埋め込まれた「JavaScript」で読み込まれる仕組みとなっています。 攻撃者は、サイト閲覧者のIPアドレスの取得、ウェブサイトのアクセス状況や水飲み場型攻撃など踏み台として利用が可能か下調べをしている可能性もあると見られています。 水飲み場型攻撃とは 攻撃者が「index_old.php」ファイルの設置による攻撃を行っている可能性としてあげられたのが水飲み場型攻撃です。 水飲み場型攻撃とは、特定の組織・個人を狙う標的型攻撃の一つです。 ターゲットがよく利用するWebサイトを改ざんし、アクセスした利用者にウイルスなどのマルウェアを導入するよう仕込む手法のことを言います。 攻撃被害にあった場合、遠隔操作によるデータの破壊・改ざんや情報の窃取が行われます。 この事から水飲み場型攻撃は、Webサイト向けの標的型攻撃と位置付けられます。 水飲み場型攻撃のイメージ図 今回のWeb改ざん被害を受けての対策 Webサイトの改ざん被害は、ここ3年で年間2500件以上の被害が発生しています。特に、Webサイトの改ざん被害は、サイトの管理者側が被害を受けたにも関わらず、サイトへ訪問したユーザに被害を与えてしまうという、まさに「被害者が加害者」になってしまうケースと言えます。 今回の注意喚起を踏まえて、サイトの管理者は以下の点を見直しましょう。 1.Web サイトのトップページに等の身に覚えの無い命令文が書き込まれていないかを確認しましょう。 2.サーバ内に「index_old.php」等の不審なファイルが蔵置されてないかを確認しましょう。 3.定期的に、ウイルス対策ソフトによるチェックを実施しましょう。 4.OSやIIS、Apache 等のミドルウェアを常に最新のバージョンアップを行い、脆弱性を解消しましょう。 5.管理者のWeb サイトへのアクセスを SSHにより実施しましょう。 6.サーバログの点検を定期的に実施しましょう。 7.FTP、telnetポート等を無効化しましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら