NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年10月28日(水)予定)
「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは
2020.02.28

サイバー攻撃に企業はどう準備すべきか第4回

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

著者 サイバーディフェンス研究所 津野田 茂明

 Webサイトのコンテンツやシステムが、攻撃者によって意図しない内容や処理に書き換えられる「Webサイト改ざん」の被害が、度々発生している。この2月にも、某ホームセンターのWebサイト改ざん被害が発表されており(詳細は後述)、現場担当者にとっても看過できない状況となっている。

 筆者は普段、企業や官公庁などのクライアントから依頼があったシステムに対して疑似的に侵入行為を仕掛け、セキュリティ的な問題点を洗い出し報告する「ペネトレーションテスト」と呼ばれる業務を行なっている。本記事では、このような業務のなかで培ってきた経験から、情報システム部署の担当者が知っておくべき「Web サイト改ざんの対策に関する知識及び対策」を紹介していく。この記事が、読者の業務への一助となれば幸いである。

あのホームセンターのホームページも被害に

実際に発生するWebサイト改ざんの被害は、その内容により異なる。具体例として最近発生した事例のうち、被害が異なる2つを紹介する。

(1)2020年2月、株式会社ケーヨーは同社が展開するホームセンター「ケーヨーデイツー」のWebサイトが第三者からの不正アクセスを受け、利用者の意図とは無関係の外部サイトへ誘導するよう改ざんされていたと発表した。
https://www.keiyo.co.jp/topnews/3155/

(2)2019年5月、株式会社イーシーキューブは、同社が開発するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取される被害が多発していることを発表した。同年12月までに、約14万件のクレジットカード情報が漏洩しているという。
https://www.ec-cube.net/news/detail.php?news_id=330

 サイト改ざんの対象として狙われるのは、何も大企業に限らない。会社の規模や事業内容とは無関係に、攻撃対象として対策が取られていないWebサイトが狙われる傾向にある。これは攻撃者がWebサイト改ざんを行う際、脆弱なWebサイトを機械的に抽出しているためと考えられている。つまり、Webサイトをインターネットに公開している以上、常にWebサイト改ざんの脅威に晒されている、ということになる。

 ひとたびWebサイト改ざんの被害に遭うと、Webサイトの閉鎖をはじめ、企業ブランドイメージの低下や訴訟対応などさまざまな事業リスクが生じる可能性がある。

SHARE

関連記事

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

2020.04.08

DXを加速させるITシステムの運用改革第21回

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ