宮城県関連サイトが改ざん被害で閉鎖

     
20180227

2月19日、宮城県食産業振興課の事務局が運営する「県食品輸出促進協議会」のWebサイトが外部からの不正アクセスにより、トップページが改ざんされているのが分かりました。

当事務局の発表によると、トップページには、英文で仮想通貨の支払いを求める文章が表示されていたとのこと。
当サイトには、事業概要や業者の商品などについて掲載されていますが、個人情報は含まれていないとのことで、改ざんされたWebサイト閲覧によってウイルス感染したとの被害は確認されていません。

今回の被害の原因については、Webサイト管理を委託する業者のサーバが不正アクセスを受けたことが原因とみられています。今回の被害を受けて、当協議会はWebサイトを閉鎖。委託業者と原因を調査しています。

<図1>宮城県食品輸出促進協議会の改ざんについて掲載する宮城県のサイト

宮城県サイトのお知らせ画面画像

Webサイト改ざん被害

JPCERT/CCが公表しているWebサイト改ざん被害の統計件数によると、2015年は2701 件。2016年は3575件。2017年1月~6月までの間で1428件となっています。

Webサイトを開設している企業や組織は規模の大小を問わず、数多くあります。

かつて、Webサイト改ざん被害は大企業のWebサイトをターゲットに攻撃を仕掛けるものでありましたが、セキュリティ対策に充実した予算を投入できる大企業をターゲットにしたものから、専任管理者も少なく、セキュリティに予算をかけにくい中小企業へ被害が増える傾向にシフトしています。

<図2>Webサイト改ざん件数の推移(JPCERT/CC掲載資料より引用)

Webサイト改ざんの統計

Webサイトに対する代表的な攻撃手法

OSコマンドインジェクション
内部でOSコマンドを呼び出すWebアプリケーションの脆弱性を悪用し、外部から不正なOSコマンドを実行させる攻撃のことです。

SQLインジェクション
内部のデータベースと通信するWebアプリケーションの脆弱性を悪用し、外部からデータベースに不正なSQLコマンドを実行する。

クロスサイトリクエストフォージェリ(CSRF)
情報の書き込み、設定の変更、注文の確定等を行うWebアプリケーションへ直接リクエストを送信するような罠ページへユーザーを誘導する攻撃のことです。

クロスサイトスクリプティング(XSS)
動的に生成されるページの脆弱性を悪用し、任意のタグやスクリプト等を埋め込むよう仕向ける攻撃です。

Webサイトのセキュリティ対策

Webサイトは大企業や中小企業問わず、個人でもブログを運営するなど広い範囲で活用されてきています。Webサイトへの攻撃被害は、「サイトの改ざん」だけではなく、「不正アクセス」や「個人情報漏洩」などの被害をもたらします。

Webサイトを安心して運用するために、主なWebセキュリティ対策をご紹介します。

1.ソフトウェアやプラグインのバージョンを最新にする
※Wordpressの場合は、プラグインの脆弱性、テーマのバージョンについて定期的に情報収集しておきましょう

2.ログインIDとパスワードを堅牢にする
※アカウントの使いまわしや推測されやすい簡単なパスワードは控えましょう。

3.不正な入力値を読み込まないよう、エスケープ処理を行う

4.データは小まめにバックアップを取っておく

5.脆弱性診断によってセキュリティリスクを発見・解消する

6.通信は、SSL化により暗号化通信にしておく
※SSL化していない場合は、第3者により通信が盗聴された際に入力内容がそのまま知られてしまう危険性があります

Webセキュリティの画像

情報セキュリティに関することならお気軽にご相談ください。

お問い合わせはこちら