中小企業こそ危ない!実際にあったWebサイトのハッキング事例と対策

こんにちは。エンジニアの和泉です。

皆様は自社のWebサイトを開設してから、その後はどのようにしているでしょうか。よく耳にするのは、放置していたり、そもそも運用や保守自体知らなかったりすることが多いようです。

技術の発展によって便利になるのと同じく、悪意のある技術も発展しているのが事実。特に昨今のWebサイトに対する攻撃は分かりづらく狡猾で、意識していなければ自社のWebサイトが攻撃されていることさえ気づかないほどです。

さらに、自社のWebサイトが攻撃されるだけではなく、逆に攻撃する側となっている例もあります。

以下では、弊社が実際に対応したWebサイトが攻撃されている事例を4つご紹介します。

事例1:ブルートフォースアタック

被害対象:企業のコーポレートサイト

この攻撃は最も単純ですが効果的で、セキュリティ対策の甘いWebサイトが機械的なログインの試行によりハッキングされるというものです。

弊社で運用・保守を行っているWebサイトでブルートフォースアタックが試行され、ブロックできた例をご紹介します。

・サーバーのレポートから、ネットワークインターフェイスにより送信されたパケットの増大を検知。最大ピーク時と比較しても5倍以上の数値であったため、機械的な攻撃の可能性を考慮し、調査を実施。

・ログイン履歴をチェックしたところ、 ありがちなユーザー名での毎秒レベルのログイン試行があり、ブルートフォースアタックであると判断。

総計962回に及ぶログイン試行の形跡がありましたが、運用していたWebサイトでは脆弱性対策を施したユーザー設定を行っていたたため、全てのログインがブロックされていました。

もし、ここでユーザー名「admin」パスワード「1234」などと簡単なものを設定していたら、この攻撃によってハッキングされていたでしょう。

この攻撃は、WordPressというメジャーなCMSのログイン画面を表示させるURLの仕組みが共通であることを利用するものです。WordPressで運用している以上、この攻撃自体を防ぐことはできません。

今回のようにハッキングを防ぐためには、あらかじめ攻撃手段を把握し、対策を打っておくことが重要です。

事例2:リダイレクトスパム

被害対象:旅館のWebサイト

この攻撃は、目的のホームページにアクセスすると別のページへ飛ばされる(リダイレクト)というものです。一例ですが、以下のような挙動をします。

これを現実に例えるならば、お店の看板を取り換えられた状態です。弊社で対応した例では、リダイレクトされるのは1日に1回で、2度目のアクセスでは正常に表示されるという悪意のある仕掛けがされており、攻撃に気付きにくい状態になっていました。

発生原因

この攻撃は直接Webサイトの内容を書き換えられて発生していました。弊社に相談があったタイミングでは、攻撃されていた環境を調べることができず、正確な攻撃の根源を調査することができませんでしたが、恐らく以下の2点のどちらかでしょう。

●パスワードが脆弱だっため、Webサイトの管理サイトがハッキングされた
●PCがウイルスに感染しFTPサーバーの情報などが流出した

対応策

この事例の場合、サーバーそのものがハッキングされている恐れもあったためWebサイトの情報が設置されているサーバーそのものを移管し、セキュリティ対策を施したうえで新しいWebサイトを開設することで対応しました。

事例3:マルウェア

被害対象:イベント情報なども扱うWebサイト

この攻撃は、ページにアクセスした際に、不正なプログラムをパソコンにダウンロード&実行させることでパソコンをマルウェアに感染させる事例です。弊社で対応した事例では「ランサムウェア」という悪質なものでした。

ランサムウェアについて トレンドマイクロ様のページより

ページを閲覧した利用者に大きな被害をもたらす恐れがあるため非常に危険性の高い事例と言えます。

以下のような挙動をします。
※事例を再現した例です。

このファイルが悪意のあるファイルと気付かずに実行してしまった場合、マルウェアに感染しパソコンが正常に動作しなくなるなどの影響が出ます。

発生原因

この攻撃事例は、Webサイトがハッキングされ、ページに不正なスクリプトを仕込まれたことで発生していました。

事例1でご紹介したブルートフォースという手法により、Webサイト管理用のアカウントがハッキングされ、ページの内容を書き換えられたものです。

対応策

管理者不在であったことや緊急性の高い事例であったため、このWebサイトもサーバーを移管することで対応しました。

事例4:CSRF (クロスサイトリクエストフォージェリ)

被害対象:お問い合わせの多い企業コーポレートサイト

これはWebサイトを構成するプログラムの脆弱性を突き、攻撃の拠点として悪用された事例です。ハッキングにより他社のWebサイトへ攻撃してしまうという、知らぬ間に自分たちが攻撃する側になってしまったという事例です。

弊社が相談を受けた事例では、リンクをサイトに勝手に張り付けられているため困っているというクレームにより事態が発覚しました。
目にはっきり見えることはない事例で、下図のような状況になります。

発生原因

被害発生時に運用は別の会社様が運営されていたため、詳細な調査を実施することはできませんでした。
しかし、WordPressを古いバージョンのまま運用していることが判明したため、その脆弱性を突いた攻撃であると判断しました。

対応策

こちらの事例でも、弊社の運用するサーバーへの乗り換えを実施し、Webサイト構成に合わせた脆弱性対策を行うことで対応しました。

ハッキングの簡単チェックツール

自社で対応した4つの事例を紹介しました。

インシデントとなったWebサイトはいずれも第三者による報告で発覚したもので、自社のWebサイトが攻撃されていることに気づいているお客様はいらっしゃいませんでした。

さまざまな攻撃手段がある中で、自社のWebサイトにどの攻撃が行われているかを見ただけで判断することは難しいです。

自社のWebサイトが攻撃されているかどうか不安な方は、Webサイトが感染しているかどうかをチェックできるツールがありますので、利用してみることをおすすめします。

https://sitecheck.sucuri.net/http://www.aguse.jp/
http://check.gred.jp/
https://www.virustotal.com/#/home/url

攻撃の恐れがあるサイトは以下のように表示されます。

このような表示になった状態で対応を怠れば、お客様の直接の損失に繋がり信用を落としかねません。
迅速な対応と再発防止を実施しましょう!

セキュリティインシデントを避けるために

事例のようなインシデントを避けるため、Webサイトの運営にあたっては以下の点を心がけていきましょう。

 脆弱なユーザー名やパスワードを設定しない

パスワードに「1234」などの簡単で短い数字や「admin」などの安直なパスワードを設定すると、いとも簡単に突破されます。絶対に避けましょう。

PCにセキュリティソフトをインストールする

感染を避けるためには、まずはお使いのパソコンが保全されている必要があります。パソコンがウイルスに感染していることで、Webサイトがハッキングされる例もあります。

CMSを利用している場合はこまめにアップデートする

WordPressなどのCMSは、普及しているがゆえに脆弱性を突いた攻撃が多いです。アップデートは機能の更新だけではなく、脆弱性の対策も含まれているため、こまめにアップデートを実施するよう心がけましょう。

セキュリティ施策を実施しなかった場合のリスク

これらのセキュリティに関することを放置した場合に、どのようなリスクが発生するでしょうか。2018年12月に発生した事例では学研プラスの個人情報流出の例があります。

この事例では、サービスへの不正アクセスがあり個人情報流出の恐れがあったため、サービスを停止するという措置を取ったとあります。

脆弱性を放置したために、せっかくのサービスを停止せざるを得ない状況になるのは会社にとって大きな損失です。

また個人情報が流失した場合、顧客からの大規模な訴訟に繋がる可能性や、SEOにおいても検索順位の下落や、最悪の場合には検索結果から削除されるといったリスクもあります。

まとめ

いかがでしたでしょうか。この記事を読んで少しでもWebサイトのセキュリティについて意識していただければ幸いです。

Webが普及するとともにWebの脅威も高まっています。今では13件中1件はマルウェアに繋がるWeb要求が発生しているという調査結果も出ており、それほどまでにWebによる脅威は身近なものとなっています。

ノートンレポート インターネットセキュリティ脅威 2018年

しかし、セキュリティ対策を自分で実施したり、常に脅威に対して意識するのは実際には難しいものがあります。弊社ではWebサイトの保守も行っていますので、脅威に対して不安があればご相談ください。