近年、企業のECサイトやWebサイトを改ざんし、悪用する手口が増加傾向にあります。偽物のサイトが作られるのではなく本物のサイトを操作されてしまうため、サイトを訪れた顧客側では改ざんされたことに気が付きません。そのため、知らない間に被害が甚大になる可能性もあります。

ここでは、Webサイトの改ざんによる被害事例や、事前にできる対策方法を解説します。

Webサイトの改ざんとは

Webサイトの改ざんとは、企業などが運営するWebサイト内のコンテンツやシステムが、悪意のある第三者によって勝手に変更されてしまうサイバー攻撃の一種です。Webサイトが改ざんされることで外部ネットワークからサーバにアクセスできるようになり、その結果、攻撃者がファイルの閲覧・アップロード・ダウンロード、任意のコマンドの実行などを自由に行える状態になってしまうのです。

では、実際にWebサイト改ざんの事例はどの程度あるのでしょうか。

Webサイト改ざんの発生件数

一般社団法人JPCERTコーディネーションセンターのレポートによると、2019年～2022年にかけてWebサイトの改ざん件数は約2.3倍に増加しています。

Webサイト改ざん攻撃の被害推移

2019年	2020年	2021年	2022年	2023年
1,013件	1,261件	2,018件	2,382件	869件

※JPCERTコーディネーションセンターのレポートをもとに当社が作成

2023年は合計869件のWebサイト改ざんが報告されています。2022年に比べて減少していますが、ECサイトや予約サイトなどが一般的になったことでWebサイトの重要性が増しており、また、Webサイト改ざんに限らずサイバー攻撃の手口は年々巧妙になっていることも相まって、決して安心できない状況です。

参考：一般社団法人JPCERTコーディネーションセンター「インシデント報告対応レポート」

Webサイト改ざんによって企業が被る被害とは

Webサイトの改ざんによって企業が被る被害としては、大きく以下の3点が挙げられます。

• Webサイトの閉鎖
• 社会的信用の失墜
• 企業利益の減少

Webサイトの閉鎖

Webサイトの改ざん攻撃を受けると、虚偽情報の掲載、ウイルス感染、個人情報や機密情報の流出などの被害につながります。そのため、攻撃を受けた企業はWebサイトを速やかに停止させ、影響が及んだ顧客への対応や、今後の対策強化を行うことになります。

社会的信用の失墜

Webサイトを改ざんされた企業に対して顧客や世間からは、「セキュリティ管理が杜撰だったのではないか」「個人情報が流出したせいで損害を被った」などと思われてしまうかもしれません。一度情報流出や顧客への損害が発生すると、社会的信用を再び取り戻すのは容易ではありません。

企業利益の減少

Webサイトが閉鎖されると顧客との重要な接点を失うことになります。ECサイトや予約サイトなどサイト上のやり取りが直接売上に起因するサービスが停止する場合は、企業利益の減少に直結するといえるでしょう。
また社会的信用が失墜すると当然顧客は離れていき、その結果利益が減少してしまう可能性もあります。

なお、Webサイトの改ざんでは目に見えない攻撃も存在し、気が付くまでに時間がかかることがあります。改ざんされている期間が長いほど被害は大きくなるので、早期に発見することと事前の対策が重要です。

企業のWebサイトが改ざんされる手口

Webサイト改ざんの手口には、大きく分けて「管理者アカウントの乗っ取り」と「ソフトウェアの脆弱性を狙った改ざん」の2つがあります。

管理者アカウントの乗っ取り

Webサイトを編集できる管理者アカウントを、マルウェア感染などによって乗っ取り、管理者を装って改ざんを行うケースです。管理者アカウントが乗っ取られると、外部からリモートで自社サーバにアクセスできるようになり、不正アクセスではなく正常なプロセスでWebサイトの改ざんが行われてしまいます。管理者が変更を加えたように思われるため、社内でも覚知するまでに時間がかかることもあるでしょう。

システムの脆弱性を狙った改ざん

Webサイトやシステムの脆弱性を利用されて改ざんが行われることもあります。なかでも多く見られるのは、不正なHTML やJavaScriptなどを仕込んだURLをクリックさせる「クロスサイト・スクリプティング（XSS）」という手口です。

また、Webサイト内にSQL文（データベースを操作する言語のこと）を不正に入力し、システムの誤動作・データの改ざんを狙う「SQLインジェクション」もあります。その他、サーバOSやCMSなどのソフトウェアの脆弱性が発見されてから更新プログラムがリリースされるまでの期間に攻撃を行う「ゼロデイ攻撃」も危険な手口です。

Webサイト改ざんの被害事例

実際に発生したWebサイト改ざんの被害事例を2つご紹介します。

「破産手続き開始」といった虚偽の内容への改ざん

2023年8～9月にかけて複数の企業で発生したのが、ある日突然ホームページに「破産手続き開始」などと表示されるよう改ざんされた事例です。大手飲食チェーン店やコンサルティング会社、畜産会社などさまざまな分野の企業で発生しました。なかには、メールシステムまで乗っ取られ、顧客に直接不審なメールを送信していたケースもありました。

ECサイトが狙われクレジット情報などが窃取される

2023年11月、改ざんされたECサイトを経由して、顧客のクレジットカード情報を不正に取得する「Webスキミング」を行ったとして国内で初めて摘発されました。この事件では正規のECサイトを改ざんし、顧客が商品を購入する際に入力したクレジットカード情報を自動的に収集する不正なスクリプトが組み込まれていました。

Webサイト改ざんの対策方法とは

企業ができるWebサイト改ざんの対策方法には、何があるのでしょうか。具体的な方法を3つご説明します。

ソフトウェアやデバイスのアップデート

デバイスや、WindowsなどのサーバOS、アプリ、CMSなどのシステムは、常に最新版にアップデートすることが重要です。Webサイトの改ざんは、システムの脆弱性を狙って行われることが多くあります。
特にJavaScriptはさまざまなWebブラウザ上で実行でき、システムやアプリの開発言語として使用されているため、JavaScriptで記述されたマルウェアは国内で多く検出されています。JavaScriptのバージョンが古かったために脆弱性を悪用されるケースもあります。定期的なアップデート、最新パッチの適用を忘れずに行いましょう。

パスワード管理の徹底

基本的なことですが、パスワード管理を徹底することも大切です。
なお8桁のパスワードであれば、7時間以内に解析されてしまうともいわれています。簡単にハッキングされない対策としては、「ある程度長いランダムな英数字の並びにする」「無関係な複数の単語をつなげ、その間に数字列を挟む」など、推測されにくいパスワードにすることなどが挙げられます。
以前はパスワードの定期的な変更が推奨されていましたが、現在では内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が必要と通知されています。また、他のサービスやシステムへの不正ログインを防ぐため、パスワードの使いまわしは避けましょう。

なお、内部からの不正アクセスを防ぐためには、エンジニアや管理者が編集する部分はアクセス制限をする、退職者のIDや情報を削除するなどの対策も重要です。

WAFやファイアウォール、外部サービスの導入

Webアプリケーションの保護に特化したセキュリティツールであるWAF、不正アクセスや異常な通信を検知するファイアウォールや、専門の外部サービスなどの導入も有効です。徹底したパスワード管理やセキュリティ対策が重要だと分かってはいても、自社内のリソースでは対応できないこともあるでしょう。そのような場合は、ソフトや外部サービスも積極的に活用してみてください。

サイトを停止せずに改ざん検知・復旧できるALSOKのサービス

ALSOKでは、年々巧妙化するホームページ改ざん攻撃に備えるサービスを提供しています。大きな特徴は以下の3つです。

• 24時間365日の監視体制
• 改ざん攻撃の検知から復旧まで0.1秒未満
• 初期費用を抑えながらサービスを導入できる

ALSOKでは、お客様のWebサイトを24時間365日監視し、改ざんの検知からページの復旧までを0.1秒以内に自動で行います。改ざん攻撃を受けても、ホームページを停止することなく、被害を防ぐことが可能です。また、お客様がサーバを用意する必要もなく、保守・運用に関する費用も不要なので、初期費用を抑えて導入できます。

サービスの詳細については以下からご確認ください。

まとめ