はじめに

外部から不正アクセスを行った際に、どのような攻撃が可能なのか、またどのような被害が生じるのか、どういった対策ができるか、 今回は脆弱性のあるサイトを作成し、実際にWeb改ざん を行う場面を確認して、説明していきます。

Web改ざん

Web改ざんとは

Web改ざんとはWebサイトのコンテンツが置かれているサーバーに不正な手段を用いることで侵入しWebサイトの改ざんを行うことです。Webサイトを持つ企業であればWeb改ざんの標的になってもおかしくありません。

JPCERTでは国内外で発生するコンピューターセキュリティインシデントの報告を受け付けており、
2020 年 4 月 1 日から 2020 年 6 月 30 日までの間に受け付けたWebサイト改ざんは291件になりました。前四半期と比較すると100件程増加しています。

▲報告を受けたインシデントのカテゴリーごとの内訳▲
(JPCERT/CC インシデント報告対応レポート2020 年 4 月 1 日 ～ 2020 年 6 月 30 日 より )

Web改ざんによる被害

以前はWebサイトの外観を大きく変えるといったいたずら目的のものが多くありましたが、最近では金銭目的で、閲覧者にマルウェアを感染させる行為が増えています。

改ざんされたWebサイトの多くは通常と外見の変化はなくサイトの閲覧者には判断がつきません。サイト閲覧者や管理者に知られることのない便利な手段として、今後も増加する可能性は高いです。

Web改ざん事例

発生日時	概要
2020年2月	ホームセンターWebサイトが改ざん被害。Webサイトが第三者からの不正アクセスにより、同サイトの閲覧ができず、同社と関係のないサイトへ誘導されるよう改ざんされた。
2019年3月	さっぽろ天神山アートスタジオのホームページが同施設と無関係のページへ遷移する改ざんが行われたたことが判明した。
2018年7月	新聞社の電子版サイトの表示機能に対する不正アクセスで悪意あるサイトへ自動的に誘導する改ざんが行われ、誘導されたサイトで偽造されたセキュリティソフトのダウンロードなどが要求され、閲覧者がクリック動作や情報入力などを行うとウイルス感染や情報窃取などが発生する可能性があった 。

Web改ざんに至るまでの流れ

Webサイト改ざんは手口が多様にあります。Webページを管理者が意図していないものにすり替えたり、不正プログラムを組み込むものなど様々です。攻撃を実行する経路は大まかに3つに分類されます。

脆弱性をついた攻撃

脆弱性とはプログラムに潜むセキュリティ上の弱点のことで、すべてのプログラムには何らかの脆弱性が潜んでいる可能性があります。
主な原因はプログラムを書く際にセキュリティが考慮されていなかった事や、プログラムを改修した際に脆弱性が発生し、Webサイト改ざんの攻撃経路の一つとなっています。 Webサイトはwordpressなどのオープンソースのソフトウェアが多く使用されており、プログラム改修が多いことから脆弱性が発生しやすいため、Webサイト改ざんを許してしまうケースが少なくありません。

管理者PC経由の攻撃

管理者のPCがWebサイト改ざんの経路になることは少なくありません。管理者PCのアカウントIDやパスワードが漏えいしてしまうと、Webサイトに正規ルートでログインして、直接改ざんをされることがあります。

パスワードリスト攻撃

別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みる攻撃です。アカウントIDやパスワードをすべて別々に管理することが面倒な為、複数のWebサイトで同じアカウントIDやパスワードを使用しているとパスワードリスト攻撃の被害者になる可能性が高くなります。

標的型攻撃

標的型攻撃はターゲットとなるWebサイト管理者に対して偽装してメールを送信し、添付されたファイル(ウイルスに感染した)を実行させることで、端末を感染しアカウント情報を搾取します。この手口の怖いところは、非常に巧妙なメール文によってセキュリティシステムを導入していても100％の防御が難しい点です。攻撃者はターゲットとなる管理者の商習慣などを調査した上で、顧客や取引先、あるいは政府機関などを装ってメールを送信します。メール文からサイバー攻撃だと気づくことは難しく、ゆえに多くの企業がその被害に遭っています。

Web改ざんの手法

SQLインジェクション

RDBMSにおいて、データベースの操作や定義を行うための言語がSQLです。このSQLを悪用して、データベース内の情報を搾取したり改ざんする攻撃をSQLインジェクションと呼びます。
Webページに設けている入力欄にSQLの不正文字列を入力することでデータベースが直接操作されてしまいます。

SQLインジェクションの詳細に関しては以前の記事にて公開しています。

https://www.cyberfortress.jp/2020/09/02/blog-sqlinjection/

クロスサイトスクリプティング

脆弱性がある掲示板のようなウェブアプリケーションが掲載されている場合に、悪意のある第三者がそこへ罠を仕掛け、サイト訪問者の個人情報を盗むなどの被害をもたらす攻撃です。
不正スクリプトが組み込まれてしまうと、ユーザーが特定のリンクをクリックした際に、それとは気付かずに本来とは異なるWebページに誘導されてしまい、そこでフィッシング詐欺やアカウント情報漏えいなどに至ります。

ファイルアップロード攻撃

アップロードしたファイルを通して本来の仕様に意図しない動作を引き起こす攻撃です。掲示板など、サーバ上にファイルを読み込むことで、攻撃者が自在にコマンドを実行することが可能になります。

ゼロデイ攻撃

ゼロデイ攻撃とは、サーバOSやWebアプリケーションなどの脆弱性が発見されてから対策が立てられるまでの間を狙ったサイバー攻撃です。まだ対策がない状態で攻撃を受けるため、高い確率でWebサイト改善を許してしまいます。先述したWordPressの脆弱性もゼロデイ攻撃によって被害が大きく拡大しました。

Web改ざんの実施

動画ではSQLインジェクションを利用して、管理者アカウントでページメンテナンスに扮してファイルアップロード攻撃を以下の通り行っています。

※以下の手順と動画を照らし合わせてご覧ください。
※SQLインジェクションでの侵入についてはこちらにて記事を公開しております。

①ロゴを差し替えるにあたって情報を収集
インターネットブラウザの機能を利用し「Cyberfortress」のロゴが /img/cfi_logo.png にあることを確認

②管理者機能「登録」ボタンを利用し、差し替え用の画像「改ざんlogo003(ファイル：kaizan.png)」と、 ウェブサイトを操作する為のファイル「WebShell（ファイル：WebShell.php）」をアップロード
（動画では事前にアプロードしているものを確認しています。）

③今回のWebShellは、Webサーバーのコマンドを実行できるWebShellを使用。ファイルを実行するとコマンド入力画面になり、以下のコマンドを入力しロゴを削除して差し替え画像にすり替える。

　・pwdコマンドにてカレントディレクトを確認
　　（/var/www/html/file にいることを確認）
　・lsコマンドで、差し替え用画像ファイルを確認
　・lsコマンドで、差し替える「Cyberfortress」ロゴファイルを確認
　・rmコマンドで、ロゴファイルを削除
　　（その後、再度lsコマンドで削除されていることを確認）
　・cpコマンドで差し替え用画像「kaizan.png」をロゴファイル「 cfi_logo.png」のファイル名にしてコピー
　・lsコマンドでロゴファイル名でコピーされていることを確認

④別ウィンドウでサイトを開くとロゴが差し替えられていることを確認できる

今回は簡単な紹介で会社のロゴマークを変更する形でご確認いただきましたが、この攻撃で注目すべき点は「サーバーに対してコマンドが実行できる」という点です。

重要な情報の入ったファイルを参照できる場所にコピーされ、窃取され、そのファイルを削除されれば、その痕跡すら分かりづらく情報は窃取されてしまうことになります。

Web改ざん 対策

WAFを導入する

WAFは、Webアプリケーションとインターネット間のHTTP通信をフィルタリングおよび監視し、Webアプリケーションを保護するセキュリティ対策製品です。脆弱性を修正できない状況下においても、クライアントとWebサイト・Webアプリケーションの間に介在して通信内容を監視することのできます。特に下記攻撃においても効果が発揮されます
・SQLインジェクション
・クロスサイトスクリプティング（XSS）
・異常を含めたゼロデイ攻撃防止

脆弱性診断を定期的に実施

定期的に脆弱性診断を実施することは重要です。セキュリティベンダーに依頼することで、セキュリティに対する課題が明確になる可能性があります。

ログインページの保護

管理者ページのアクセス制限やログインロックなど、複数の対策でログインページを保護することは、不正ログイン対策にとても有効です。wordpressの場合、アドレス末に/wordpress/wp-login.phpを付与するとログインページに入れる可能性があるので、特定のアドレスからしかアクセスできないようにしたり、ログインページを隠すことでセキュリティを高めることを推奨します。

サイトを構成するソフトウェアを最新バージョンへアップデート

脆弱性が見つかった場合に迅速に最新バージョンへアップデートすることが有効です。なかには頻繁に最新バージョンが公開されるものもあるため、注意して最新情報を確認しておく必要があります。

おわりに

Webサイトは攻撃者から、攻撃できる箇所を探られています。まだ被害がないという企業でもいつでも攻撃される可能性はあります。
攻撃され、被害が出てしまうとその被害は甚大なものになり、企業としての信用を失う可能性があります。
Web改ざん対策としてWAFの導入及び定期的なセキュリティ診断を、ゼロデイ攻撃に関してはWAFに加えてFWやIPSなど複層的にセキュリティ機器を設置することで攻撃を受けるリスクを減らすことができます。
また、セキュリティ機器を導入した際は併せて監視体制の確立も必要になります。ノウハウがない場合はセキュリティベンダーに頼るのも手段の一つです。

[blogcard url=”https://www.cyberfortress.jp/contact/”]

参考文献

サイバーセキュリティ.com – 急増する日本企業のWEBサイト改ざん被害、効果的な対策とは？
tripwire – Webサイトを改ざんする手口とは
JPCERT/CC – インシデント報告対応レポート2020 年 4 月 1 日 ～ 2020 年 6 月 30 日
IPA – ウェブサイト改ざんの脅威と対策～ 企業の信頼を守るために求められること ～