自社のWebサイトが改ざんされてしまった場合の被害を最小限に抑えたい、専門知識不要で改ざん対策ができるツールを導入したい企業の担当者へ。Web改ざん検知ツールの機能や選び方とともに、おすすめのツールを紹介します。
Web改ざん検知ツールとは、自社のWebサイトが第三者によって不正に改ざんされていないかを監視するツールです。改ざんが見られた場合、ツールがサイトの管理者へ即座にアラートします。
Web改ざん検知ツールを導入すれば、改ざん箇所の早期発見が可能です。ツールがサイト全体をパトロールし、改ざんを検知。検知後は管理者へメール通知を行い、改ざんが行われたページのURLや、改ざん箇所を共有します。
同時にサイトのトップページを、メンテナンス中であることがわかる画面に自動で切り替えます。切り替えることで、訪問者が改ざんされたページに次々とアクセスする事態を防げます。
中には改ざんを確認後、改ざん前の状態に自動で復元する機能を備えたツールも。Webサイトを正常な状態に早期復旧することで、自社が被る経済的損失を最小限に抑えられます。
Web改ざん検知ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
そもそも、Webサイトの改ざんはどのように行われるのでしょうか。ここでは、想定される手口を説明します。
Webサイト本体をはじめ、サイト内に組み込まれたWebアプリケーション(※)や、サイト内の情報を保管するサーバー、サーバーの動作を管理するOSそれぞれに存在するセキュリティ上の欠陥を突く方法です。攻撃の手法は複数あり、特にWeb改ざんと関連性が高いのが、「クロスサイト・スクリプティング」と「SQLインジェクション」です。
※コメント書き込み機能や会員登録・ログイン機能など、ユーザーの入力に従ってWebサイトが動的に変化する仕組み全般
WebサイトやWebアプリケーションに悪意のあるスクリプトを入力し、訪問者を誘導する方法。Webサイトに設置されたコメント欄やSNSに、不正な書き込みをして攻撃を仕掛けるのが一般的です。
具体的な攻撃手順の一例は以下の通りです。
①攻撃者が、偽サイトを作成し、悪意あるスクリプトと「本物のサイトへ戻るリンク」を仕込む
②本物のサイトの掲示板やSNSに、偽サイトへ誘導するリンク付きの投稿を行う
③ユーザーがそのリンクをクリックして偽サイトにアクセス
④偽サイト内のリンクを踏んで本物のサイトに戻った瞬間、スクリプトが実行されてしまう
このように、偽サイトと本物のサイトをまたいでスクリプトが実行されるのが特徴です。スクリプトが実行されると、サイトが改ざんされてしまいます。
ログイン画面などから、データベース操作に使う「SQL」という命令文に不正な内容を含めて入力し、データの改ざんや個人情報の窃取を狙う攻撃です。本来なら「このIDとパスワードが一致するか確認する」といった命令だけが処理されますが、脆弱なサイトでは「全ユーザーの情報を表示しろ」といった悪意ある命令まで通ってしまうことがあります。
Webサイトの管理画面にログインするためのID・パスワードを適切に管理していないと、攻撃者にアカウントを乗っ取られる可能性が高いです。推測しやすいパスワードを設定していたら、第三者に簡単に入り込まれてしまうでしょう。
アカウントを乗っ取られると、管理者が通常通りサイトを更新するのとまったく変わらないプロセスで改ざんが行われてしまいます。一見、管理者が正当にWebサイトの更新をしたように見受けられるので、改ざんの発覚に時間がかかる場合があります。
サイトを編集する社内の担当者・管理者の権限設定の不備も改ざんの要因になります。たとえば、すでに退職した従業員へのアクセス権限解除を失念していた場合、その退職者によって不正な改ざんが行われる可能性もゼロではありません。
攻撃者は、これらの手口を単独または組み合わせて不正をはたらきます。
まずは、自社のWebサイトが改ざんされないように対策するのが大切です。改ざんを未然に防ぐためのセキュリティ対策の一例を紹介します。
不正な攻撃の侵入経路そのものをブロックする方法。具体的には、以下の対策が有効です。
| セキュリティ対策 | 説明 |
|---|---|
| WAF(Web Application Firewall) | 不正な攻撃からWebアプリケーションを守るシステム。攻撃のパターンをまとめた「シグネチャ」と照らし合わせ、該当した場合は攻撃者の通信をブロックします。 前述したSQLインジェクションなどの攻撃にも対応。 詳しくは、「WAFの比較15選!クラウド/運用・監視サービスまで、タイプ別に解説」をご覧ください。 |
| ファイアウォール | 社内ネットワークと外部ネットワークの境界に設置し、攻撃者からの不正な通信を制御するシステム。攻撃者が通信してきた際のIPアドレスやポート番号を読み取り、あらかじめ設定を許可したアドレスではなかった場合に通信を拒否します。
WAFのように詳細な通信内容までは把握できないため、Webアプリケーションに向けられた攻撃すべてに対処できない可能性があります。 |
| IDS/IPS(侵入検知/防御システム) | サーバーやOS、ミドルウェアなどのネットワークに対する不正アクセスを検知、防御するシステム。Webアプリケーションの保護に特化したWAFと併用することで、多層防御を実現できます。
詳しくは、「IDS/IPSの比較11選!ほかのセキュリティ対策との違いや選び方を解説」をご覧ください。 |
| UTM(統合脅威管理) | ファイアウォールやIDS/IPS、アンチウイルスなど、複数のセキュリティ機能を一台にまとめたシステム。
詳しくは、「UTM比較9選!必要な機能や導入形態は?|中小企業向けのおすすめを紹介」をご覧ください。 |
攻撃者が、サーバーやシステムの管理画面にアクセスできないよう制御する方法。主に、以下の対策が有効です。
| セキュリティ対策 | 説明 |
|---|---|
| 多要素認証(MFA) | PC、サーバーや各種システムのログイン時に、パスワードの入力以外の認証手段を組み合わせる方法。具体的には「パスワード+指紋などの生体認証」「パスワード+スマホに送信された認証コードの入力」といった手段を組み合わせて運用します。
複数の認証手段を組み合わせることで、万が一パスワードが流出しても、不正アクセスを防げます。 詳しくは、「多要素認証(MFA)ツールの比較12選。タイプ別に紹介」をご覧ください。 |
| 不特定多数からのアクセス制限 | 特定のIPアドレスやユーザーからのアクセスのみを許可して、不特定多数からの接続を遮断する方法 |
| サイト内のフォームや掲示板への入力値を制限 | 不正な書き込みをされないよう、フォームや掲示板に入力できる文字数に制限を設けたり、攻撃に使われる文字列の意味を無効化する方法 |
WebサイトやWebアプリケーション、サーバーなどに潜む脆弱性を事前に把握し、適宜強化していくアプローチも重要です。以下のサービスの利用や、対策が有効です。
| セキュリティ対策 | 説明 |
|---|---|
| 脆弱性診断(ペネトレーションテスト) | WebサイトやWebアプリケーション、サーバーの構成全体をチェックし、攻撃の侵入口となりそうな箇所を診断します。
近年は、診断対象に様々な手段の攻撃を擬似的に仕掛け、セキュリティの強度をチェックしていく「ペネトレーションテスト」も普及しています。脆弱性診断と併用することで、セキュリティを更に強化可能です。 詳しくは、「ペネトレーションテストサービスとツール13選。何を使うべきか?」をご覧ください。 |
| セキュリティパッチ(更新プログラム)適用 | 各種ソフトウェアやWebアプリケーション、OSを提供するベンダーからリリースされているセキュリティパッチを速やかに適用するのも、脆弱性対策として有効です。
セキュリティパッチの適用有無を効率的に管理したい場合は、IT資産管理ツールを利用するのがおすすめ。 詳しくは、「IT資産管理ツール比較14選!図解でタイプ分けして紹介」をご覧ください。 |
前の章で紹介したような対策をしたにも関わらず、Webサイトの改ざんを狙った攻撃に遭ってしまう可能性はあります。攻撃を素早く把握し、被害を最小限にとどめるために役立つのが、Web改ざん検知ツールです。
この章では、Web改ざん検知ツールの主な機能を紹介します。
自社のWebサイトの改ざんが行われていないかを監視します。監視するタイミングや、監視方法はツールによって異なります。表で特徴と注意点をまとめました。
| 監視タイミング | 特徴 | 注意点 |
|---|---|---|
| 常時(24時間)監視 | リアルタイムでWebサイトを監視する方法。改ざんの発見までタイムラグが発生しません。 | |
| 定期監視 | 「一日に一回」「一時間に一回」など、定期的なタイミングでWebサイトの改ざんを監視する方法。 この手法を取っているツールは、比較的安価に利用できる傾向にあります。 |
常時監視型に比べて、改ざんの発見にタイムラグが発生する可能性があります。 |
| 監視方法 | 特徴 | 注意点 |
|---|---|---|
| 外部監視 | 監視したいサイトの各ページのURLを登録し、改ざんチェックを行う方法。 インターネット上で稼働するため、ソフトウェアをインストールする手間がかかりません。 |
監視対象はURLで外部に公開している範囲のみ。公開していないファイルやコンテンツは含まれません。 |
| 内部監視 | Webサーバー上にソフトウェアやプログラムをインストールして、監視を行う方法。 外部には公開していないファイルやコンテンツも監視対象にできます。 |
外部監視型に比べて、インストールや初期設定の手間がかかります。 |
改ざんを検知する方法も、様々な手段があります。それぞれの特徴と注意点を表にまとめました。
| 検知方法 | 特徴 | 注意点 |
|---|---|---|
| パターンマッチ型(ソース解析型) | 過去に改ざんが行われた際のソースコードのパターンを保存。いざ攻撃に遭った際に、パターンと合致するかを照合する方法 | 今までにないパターンの攻撃は検知できません。 |
| ハッシュリスト比較型 | Webサイトを構成するファイルのハッシュ値(ファイルのデータを特定の計算手順で数値化したもの)を算出。その後、一定時間ごとにハッシュ値を計算し直して、差異の発生有無を確認する方法 | ハッシュ値を一定時間おきに計測し直す関係上、改ざんの発覚にタイムラグが生じる可能性があります。 |
| 原本比較型 | サーバー上に、Webサイトを構成する全ファイルを原本として保存。そのうえで、公開中のサイトのファイルに変化がないかをリアルタイムで比較する方法 | サイトを更新した際は、原本も都度更新し直す必要があります。 |
| メンテナンスページへの自動切り替え | 改ざん発覚時に、サイトを自動で「メンテナンス中」表示に切り替え。訪問者の被害を防ぐため、コンテンツの閲覧を一時停止します。 |
|---|---|
| 改ざん内容の自動復旧 | 改ざん検知後、HTMLや画像ファイルなどを改ざん前の状態に自動復元。サイト構成を元通りに戻します。 |
| 監視対象のファイル設定 | 管理画面に表示されたファイル一覧から、マウス操作で監視対象を簡単に選択できます。 |
|---|---|
| 監視のオン/オフ切り替え機能 | サイト更新時に監視を一時オフにすることで、不要なアラートの発生を防げます。 |
| 管理者へのメール通知 | 改ざんが検知されると、管理者へ即時にメール通知されます。対象ページのURLや改ざん箇所も記載されます。 |
| 複数管理者へのアラート | 通知先を複数名設定でき、見落としのリスクを減らせます。 |
| クロスドメインスクリプトの検知・警告機能 | 監視対象のWebサイトに、解析対象外の外部サイトへ誘導するスクリプト(クロスドメインスクリプト)が埋め込まれていないかを監視し、検知時には警告を表示します。警告画面には、該当ページとスクリプトの箇所が表示されます。 |
|---|---|
| オープンソースCMSとのAPI連携 | WordPressやJoomlaなど、ソースコードが公開されているオープンソースCMSは脆弱性を突かれやすいため、CMSとAPI連携して改ざん検知を行うツールもあります。 |
| GRED証明書の配布 | 日立システムズが提供する「GRED Web改ざんチェック」を導入すると、サイトに埋め込める証明書マークが配布されます。改ざん対策の証明として機能し、攻撃の抑止や訪問者への安心感につながります。 |
Web改ざん検知ツールのタイプは、大きく3種類に分けられます。それぞれのタイプの特徴を紹介します。
Webサイトの改ざん検知に特化したタイプ。まずは改ざん検知ツールの使い勝手を試してみたい企業におすすめです。
「GRED Web 改ざん チェック Cloud」は、管理画面が見やすいのが特徴です。改ざんされたページと改ざん箇所がハイライトで表示されるため、どこに不備が見られるのかが一目でわかります。
「トヨタシステムズ」の場合、ツールが改ざんを検知した後、同社のアナリストがその事象を「改ざんか誤検知か」判断し、切り分ける対応を実施(オプション)。導入企業は、誤検知の対応に時間を割く必要がありません。
そのほか「F-PAT」は、監視を行う時間間隔や、通知を停止する時間帯、検知対象から除外するファイルなどを細かく設定でき、自社の状況に合わせて運用しやすいです。
改ざん検知に加え、改ざんが行われたサイトを元の状態に自動復旧する機能も備えたタイプ。このタイプは、更に以下2種類に分けられます。
Webサイト以外の改ざんの検知にも対応するタイプ。
たとえばツールをサーバー本体にインストールして使う「WebARGUS」の場合、サーバーに接続されていれば、Webサイト関連以外のファイルの改ざん検知もできます。具体的には、Webアプリケーション開発に使うPython・Rubyなどのプログラミング言語が収められたファイルや、OSを構成するファイルなどを監視対象に設定可能です。
「Tripwire Enterprise」も同様、OSやアプリケーション、ネットワークなどの改ざん検知ができます。いずれも前もって保存した正常な状態のファイルと監視対象を比較して、その差分から改ざんか否かを判断しています。
Webサイトの改ざん検知と、自動復旧に対応するタイプ。
たとえば「ALSOK ホームページ改ざん検知・復旧サービス」は、サイトの改ざんを認識後、わずか0.1秒以内で自動復旧を試みるスピード感が強み。また、改ざん検知後はALSOKのスタッフが直接導入企業に連絡するため、異常を見逃す心配はありません。
「サイトパトロール」の場合、不正な改ざんと正常な更新を判別し、改ざんのみ自動修復する体制を整えています。正常な更新は、同ツールに接続した監視サーバーを経由する仕組みになっており、サーバーを通らない更新は改ざんと判別。誤検知が起こりにくいのがポイントです。
Web改ざん攻撃の遮断がメインのツールのオプションとして、改ざん検知機能が付いたタイプ。改ざんの未然防止にも力を入れたいと考えている企業におすすめです。
クラウド型WAFの「攻撃遮断くん」には、「攻撃検知AIエンジン」が搭載されているのが特徴。様々な企業の導入データを学習したAIが、未知の攻撃の遮断にも対応します。それでも改ざんされてしまった場合は即座にサイトがメンテナンス画面に切り替わるため、訪問者が次々と被害に遭う状況を防げます。
Webサイトの改ざん検知に特化したツールを紹介します。
(出所:GRED Web 改ざん チェック Cloud公式Webサイト)
自社開発のWeb改ざん検知エンジン「GRED」を実装したツール。設定は簡単で、監視対象にしたいページのURLを登録するだけ。登録したURLを一日4回巡回して監視を実施する。
また、管理画面が見やすいのが特徴。改ざんを発見したら、管理画面に表示された緑のアイコンが赤色に変化。赤のアイコンをクリックすると該当ページの改ざん箇所がハイライトで表示されるので、どこが改ざんされたのかが一目でわかる。改ざん検知と同時に、サイトのトップページが自動でメンテナンス画面に切り替わるのも安心だ。
更に、サイト内に自社ドメイン以外のスクリプトが記述された場合に通知する「クロスドメイン警告機能」を搭載。警告後、管理画面から正当な外部リンクか不正なリンクかをすぐに判別できる。
そのほか、リンクが切れているページを検知しリストで表示する機能もあり、脆弱性対策に役立つ。
(出所:F-PAT公式Webサイト)
Webサーバー内に設置された全ファイルを監視し、改ざんを検知するツール。最短一時間おきにサーバー内のファイルデータを自動取得し、取得前のファイルとの違いを比較する仕組み。
HTMLをはじめ、画像やPDFなどのファイルの差異も見逃さない。ファイルに差異が認められた場合は改ざんとみなし、あらかじめ登録したメールアドレスに通知。通知先は5件まで登録できるので、管理者複数名のアドレスを登録しておけば見逃し防止に役立つ。
そのほか、監視を行う時間間隔や、通知を停止する時間帯、検知対象から除外するファイルなども設定でき、自社の状況に合わせて運用しやすい。
初期費用なし、一ドメインあたり月額7,500円とリーズナブルに導入できるので、Web改ざん検知の使い勝手を試してみたい企業にもおすすめ。
(出所:トヨタシステムズ公式Webサイト)
セキュリティの専門知識不要で、Web改ざんチェックの運用がしやすいツール。Webサイトを構成するファイルが、正常な状態と比べ大きく差異が発生している場合に改ざんと認定。具体的には、サイトの構成が大幅に変えられている場合や、暴力的、反社会的な表現が含まれている場合などを改ざんとみなしている。
改ざんが発見されたら管理者へアラートメールを配信。メールには、発生日時や該当のURL、改ざんの判定理由などが端的にまとまっており、状況を把握しやすい。改ざん通知後に、同社のアナリストがその事象を「改ざんか誤検知か」判断し、切り分ける対応もオプションで依頼可能。導入企業は、誤検知の対応に時間を割く必要がない。
導入企業の運用状況に応じて改ざん検知の基準をカスタマイズするサポートも行っており、ツールの操作に慣れてなくても安心して任せられる。
Webサイト以外の改ざんの検知にも対応し、自動復旧も行うツールを紹介します。
(出所:WebARGUS公式Webサイト)
サーバー本体にインストールすれば、サーバーに接続されたファイルやコンテンツすべてを監視可能なツール。具体的には、Webサイトのテキストや画像、映像を収めたファイルのほか、Python、Rubyなどのプログラミング言語が収められたファイル、OSを構成するファイルなどを監視対象に設定できる。
CMSや、一定のタスクを定期的に自動で実行するプログラム「Cron」とAPI連携して、監視対象に含めることも可能だ。24時間常時ファイルを監視し、発生した改ざんをリアルタイムで検知。改ざん箇所は、あらかじめ保存した正常なデータにならって復旧作業を行う。
更に、改ざんされたファイルを証拠として保存もでき、警察や監査法人への説明資料として提示できる。
監視設定は簡単で、管理画面から監視対象ファイルにチェックを入れるだけ。Webブラウザ上で操作できるため、外出中やテレワーク中でも対応できる。
(出所:Tripwire Enterprise公式Webサイト)
Webサイトにとどまらず、OSやアプリケーション、ネットワークなどの改ざん検知が可能なツール。いずれも前もって保存した正常な状態のデータファイルと監視対象を比較し、差異がないかを監視する。差異が認められたら、変更前後の対象を同一画面に表示して「いつ・どの箇所が・どのように」変更されたかを色分けして示すため、一目で差分を見比べやすい。見比べた結果不正な改ざんであった場合は、攻撃前の正常な状態に自動復旧する。
検知された改ざんデータやサイトを更新した際のログは、ツール内のデータベース上に自動で蓄積。更新内容が、内部統制基準「J-SOX」やクレジットカードの会員データ保護基準「PCI DSS」などのコンプライアンス基準に沿って正しく運用されているかをチェックし、レポートを自動作成する機能もあり、監査準備にも活用できる。
Webサイトの改ざん検知と自動復旧機能が付いたツールを紹介します。
(出所:ALSOK ホームページ改ざん検知・復旧サービス公式Webサイト)
ALSOKのスタッフが24時間サイトを監視して、改ざんが起きたら即座に復旧を促すサービス。公開中のページはもちろん、公開していないページも常時監視して改ざんを検知。改ざんを認識後、わずか0.1秒以内で自動復旧を試みるスピード感が強みだ。
管理者がサイトを更新する際に改ざんアラートが鳴らないよう、検知機能は適宜オフにできる。また、改ざん検知後は、ALSOK側でも状況を確認して導入企業に連絡するため、異常を見逃す心配はなし。更に、管理者がサイトの更新を終えた後、検知機能オフのまま放置することがないよう連絡を入れてくれるのも心強い。
サイトの解析結果は、定期的に報告。実際に改ざんが起こった場合は、該当ページや改ざん手法について詳細に記したレポートを提供してくれるので、社内で活用しやすい。
(出所:サイトパトロール公式Webサイト)
不正な改ざんと正常な更新を判別し、改ざんのみ自動修復するツール。管理者が正常なプロセスでサイトを更新した際は、同ツールに接続した監視サーバーを経由。そのため、サーバー経由で更新されたデータは正常、それ以外を改ざんと判別している。
監視対象範囲は広く、HTMLやJavaScriptなどのコードだけでなく、CGIを使った映像や、画像ファイルにも対応する。サイトの改ざんが行われた際の自動復旧機能も搭載。公開中のサイトのデータと、あらかじめ保存した正常なデータをリアルタイムで比較する手法を取っており、改ざんの際は正常なデータにならって修復を行う。あわせて、修復中はサイトのトップページが自動でメンテナンス画面に切り替わる。
そのほか、ファイルやHTMLの改ざん検知に特化したリーズナブルなプランもそろえており、自社のニーズに合わせて選べる。
(出所:シーズホスティングサービス公式Webサイト)
Webサイトの改ざん検知から、攻撃に遭ったサイトの修復までフォローするツール。同社が提供するサーバーの監視・障害対応サービスを契約する企業に、オプションで提供している。
サーバーが、接続されたWebサイトを構成するファイルをリアルタイムで監視。監視中にファイルの改ざんが行われた場合は、自動で元の状態に復元を行う。また、管理者側でサイトの更新やコンテンツの追加を行った際は、都度ウイルスチェックを実施。ウイルスに感染しているファイルは、訪問者がアクセスしないよう隔離する。
管理画面では、ファイルの更新履歴や改ざん履歴を確認可能。改ざん件数はグラフで可視化されるので、「いつ・どのタイミングでサイトが狙われているか」の傾向をつかみやすい。
サーバーへのツールのインストールや基本設定は同社が代行するため、初めて導入する企業も安心だ。
Web改ざんの未然防止にも力を入れたい企業におすすめのツールを紹介します。
(出所:攻撃遮断くん公式Webサイト)
外部からの攻撃を遮断し、Webサイトを守るセキュリティサービス。同社が提供するクラウド型WAFのオプションとして、Web改ざん検知が利用できる。一日一回Webサイトをチェックし、管理者へメール通知。万が一サイトが改ざんされた場合はメンテナンス画面に即座に切り替わるため、訪問者が次々と被害に遭うリスクを抑えられる。本オプションの料金は、解析対象のページ数に応じて変動。大規模なサイトを運営する企業向けに、一日4回チェックを行うプランも用意している。
なお、同社のクラウド型WAFには「攻撃検知AIエンジン」が搭載されているのが特徴。AIが様々な企業の導入データを学習し、未知の攻撃の遮断や、誤検知の補正にも的確に対応する。
自社でWebサイトを運用する場合は、改ざん攻撃に遭わないようセキュリティ対策を打つことが重要です。しかしあらゆる対策を施しても、それらをすり抜けた攻撃を受ける可能性はあります。そこで役立つのが、Web改ざん検知ツールです。
Web改ざん検知ツールを導入すれば、サイトの改ざん箇所を早期に発見でき、迅速な復旧対応が行えます。また、サイトのトップページをメンテナンス画面に自動で切り替える機能もあり、訪問者が改ざんされたページに次々とアクセスしてしまう事態を防げます。
Web改ざんツールの中には、改ざんの検知に特化したタイプと、改ざん確認後、サイトを正常な状態へ自動で復元する機能を備えたタイプがあります。WAFのオプションとして利用できるタイプもあり、導入すれば改ざんの未然防止対策も可能です。本記事を参考に、自社に最適なWeb改ざん検知ツールを選んでみてください。
Web改ざん検知ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
