www.networld.ne.jp WebS@T ウェブ改ざん検知サービス 株式会社ネットワールド
WebS@T agenda 1. Webサイト改ざんの状況 ① ② 2. Webサイト改ざんの目的 3. Webサイト改ざんの影響 ① ③ 4. 改ざん被害対応策とは ① ② 5. WebS Tとは 6. WebS Tの仕組み 7. WebS Tの特長 ① ③ 8. WebS Tサービス機能概要 9. WebS Tサービス価格体系 10.WebS T導入事前調査結果 11.主なWebサイト改ざんによる被害 12.お問い合わせ窓口
Webサイト改ざんの状況 ① セキュリティ脅威の順位 2014年において社会的影響が大きかったセキュリティ上の 脅威に基づいて作成された順位付け 順位 項目 1位 インターネットバンキングやクレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の搾取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術を悪用した攻撃 9位 脆弱性好評に伴う攻撃 10位 Webサイト改ざん は10大脅威の中の 7位に位置している!! 知らぬ間に ウイルス感染サイトに仕立てられる 悪意のあるスマートフォンアプリ IPA 情報セキュリティ 10大脅威 2015 より 2
Webサイト改ざんの状況 ② 改ざん被害件数 インシデントカテゴリ 2015/1月 2015/2月 2015/3月 フィッシングサイト 225 106 135 466 Webサイト改ざん 247 256 289 781 74 84 102 260 1252 885 843 2980 23 1 8 32 0 4 1 5 306 359 285 950 マルウェアサイト スキャン Dos/DDos 制御システム関連 その他 合計 インシデント件数の 14.4%が Webサイト改ざん にあたります JPCERT/CC インシデント報告対応レポート より 1月 3月(3ヶ月間)の改ざんは インシデント報告があったものだけでも 781件 毎日8 9件の 改ざんが発生 していることに 3
Webサイト改ざんの目的 改ざんの目的 近年 Webサイト改ざんの目的が変化し より複雑化しています!! 見た目の改ざんから マルウェア拡散へ 古いタイプの改ざん傾向 現在の改ざん傾向 コンテンツ 見た目で変化に気付く 見た目では変化に気付かない 攻撃者の目的 改ざんされて 騒がれる事が目的 改ざんはあくまで一つの手段で 情報詐欺 金銭搾取が目的 二次被害 中傷や攻撃を受けたこと自体による 威信やブランドへの一時的ダメージ 連鎖的に起こる顧客や第三者への被 害事業やサイト運営への長期的で深 刻なダメージ 改ざんは 目的 ではなく 情報搾取の為の 手段 に 4
Webサイト改ざんの影響 ① 改ざんされた場合 不正アクセス等によるサイト閉鎖 マルウェアの埋め込みによるウイルスの拡散 不正なファイル配置によるhtmlファイルのダウンロード サイトの改ざんの被害を受けた 被害者 だったはずが ウイルス拡散や悪意のあるWebサイトへ誘導する 加害者 になる恐れが!! 取引先や顧客からの信用失墜 ブランド力の低下 被害者からの賠償責任 莫大な損失 5
Webサイト改ざんの影響 ② 改ざんされた場合 1件のITセキュリティ事件が企業の命取りになることも 海外では 下記のような事例も報告されています カスペルスキーより 東南アジアの宝石を販売する小さな会社のホームページが 改ざん されました マルウェアがこのサイトに訪問した人たちにより ばらまかれるようになりました ホームページに埋め込まれていた悪意あるコードは数時間で駆除されましたが また直ぐに復活を しています 犯人はこのサイトへのアクセス件を持っており 何度でもコードを埋め込みしたのです 調査の結果 最初に感染したのはその会社の経営者のPCでした セキュリティが十分でないPCより サイトのアクセス情報を盗んだのです Googleはこの会社のサイトをマルウェア感染サイトとして ブラックリストに載せ インデックスから削除しました 別の検索エンジンでも同様です サイトを元に戻すのに時間が掛り サイトがタウンしている間に収益が激減し 業務が回復するまでに1年間を有したとしています 倒産の 危機!! 6
Web サイト改ざんの影響 3 改ざんされた場合 Web サイトを改ざんされた場合 半数程の企業や団体が被害に気が付くまでに 2 週間以上 を要しています また改ざんに気が付くきっかけは 1 エンドユーザー様から被害にあった企業及び団体様に問い合わせが入る 2 社員が検索エンジンや掲示板等で被害を認識する 3 システム運用担当者が気が付く 最初に気が付くのは お客様 ということになります!! 被害拡大 7
改ざん被害対応策とは ① 重要ポイント 万が一 改ざんをされてしまっても 改ざん被害の規模やお客様への影響を最小限に食い止める事が重要!! 改ざんされた事に素早く気付くことが重要 WebS T を導入すれば 解決します 8
改ざん被害対応策とは ② 重要ポイント 最近は被害者だけではなく 一般の方や報道も注目しています!! 改ざん被害の規模やお客様への影響だけでなく 被害の事後処理や経過報告の公式発表 に至るまでの一連の企業の対応に注目が集まっています 改ざんに気付いた後の対応が重要 WebS T を導入すれば 解決します 9
WebS Tとは 基本機能とサービス内容 基本機能 情報収集 監視対象サイトのリンクから監視対象のコンテンツを収集 検知 解析 継続的にコンテンツを監視し コンテンツの変更点を解析 検知 報告 改ざんされたコンテンツの変更点を記録し管理者へ即座に通知 サービス内容 ウェブサイト監視 監視対象ウェブサイトを 24時間365日 システム監視 アラート通知 更新 改ざん 障害を検知した際に システムによる アラートメール の送信 導入作業 ウェブサイトの監視を行うための 監視設定 の代行 専用ポータル画面 監視対象ウェブサイトの 監視履歴 変更履歴 を閲覧できるポータルサイト提供 10
WebS Tの仕組み ネットワールド セキュリティセンター WebS@T 改ざんチェックの流れ ダウンロードした 過去のファイル ダウンロードした 最新のファイル 比較 ウェブサイトの登録 1 定期的にファイルをチェック 2 定期的に監視対象のWebサーバからファイルを ダウンロードして 構文解析を行います ダウンロード ダウンロード アラーム 発信 検知した場合 アラームを発信 構文解析によって 正規の 更新 なのか 悪意の 改ざん なのかを見分け Web管理者様へアラー ムを発信します また ダウンロードの 遅延 やファイルを取得で きない場合には 障害 アラームを発信します お 客 様 管理画面で解析レポート確認 WEB更新者 3 監視対象 Webサーバ WEB管理者 4 解析レポートを元に改ざんを修復 5 11 サイト更新
WebS Tの特長 ① 機器及びソフトウェア 購入不要 トップページURL 登録するのみ 社内でのメンテナンス 一切不要 マルウェア 標的型攻撃 セキュリティ対策 エージェントレス WebS@tは 監視ソフトウェアが不要なエージェントレスタイプです ハードウェア 監視を始めるにあたり 新たなハードウェア等は必要ありません またホスティング環境でも監視可能でサーバを選びません 監視ファイルの自動設定機能 監視したいWebサイトのトップページURLを指定するだけで そのサイト のリンク構造を解析し 独自のアルゴリズムで監視すべきページを自動的に 選定します Webサイトのメンテナンス システムにて監視をしますので サイト監視専門の人員が不要です またWebサイトで管理されるファイル種別の分類 平均ダウンロード 速度を統計情報として把握するため メンテナンスとして利用可能です フィッシングサイトの踏み台防止 自社サイト内に 不正なフィッシングサイトを構築されても それを検知して管理者に警告メールを通報します ウイルス被害の拡散防止 ガンプラーなどのウイルス感染攻撃にあっても 被害の拡大を防ぎます 会社信頼の失墜防止 万が一改ざんをされても 即座にアラートを発信するため 改ざんされたホームページを 多くのお客様の目にさらすことはありません 12
WebS Tの特長 ② エージェントレス WebS@T HTMLにより 監視対策コンテンツを取得します そのため監視対象のWebサーバへのソフトウェアインストール が不要なエージェントレスタイプとなります WEBサーバを選びません XXX株式会社 http://www.xxx.co.jp 高価な専用サーバでしか 利用できなかったセキュリティ対策 が 安価な共用サーバでも実現可能です 監視対象のWWWサーバにエージェントソフトを入れなくとも 運用できるので 安価な共用サーバでも利用ができます Abc株式会社 http://www.abc.com SiteA 個人向け SiteB 法人向け サービス内容 Xyz有限会社 http://www.xyz.jp 1 ウェブサイト監視 監視対象ウェブサイトを24時間365日システム監視します 2 アラート通知 更新 改ざん 障害を検知した際 システムによるアラー トメールを送信します 3 導入作業 ウェブサイト監視を行うための監視設定代行 4 専用ポータル画面 監視対象ウェブサイトの監視履歴及び変更履歴の閲覧が 可能なポータルタイト提供 社内サーバ ホスティングサーバ 13
WebS Tの特長 ③ 解析対象 HTML 画像ファイル アプリケーションファイル etc HTML JS CGI GIF HTMLはもちろん CGIやPHP Perlで書かれた動的なコンテンツ でも exe化された実行ファイルや画像ファイル等も ファイル そのものの更新チェックを行います ただし アクセス制限が施されているページは チェック対象外になります (ログインパスワード等) JPG レポート機能 ファイルチェックの結果をWEB画面及びPDFファイルダウンロード でご確認いただけます また月次レポートをWEB画面にて確認することも可能です WebS@T さまざまな形式のファイルをチェック 障害,遅延等のレポート Webサーバ内の全ファイルを探索し 障害や遅延等を確認 レポートを提出します 内部統制要件に 正常 正常 アラートメールの発信 改ざん CGIなどのスクリプトファイルの修正は 内部統制では理由を 明確にして管理する必要があります このような体制をとっている場合 ファイルの更新をトレース することが出来ます 発信履歴明細の 月次レポート閲覧 14
WebS Tサービス機能概要 1/2 機能 解析ファイル数 標準設定 1マスタあたり 1 1,000ファイル(URL数) 1,000ファイルを超える監視についても 対応は可能となります 解析頻度 標準設定 トップページのみ 10分毎 2-99ファイル 1時間毎 100-1,000ファイル 24時間毎 監視間隔は 設定にて変更可能となります アラート通知方法 WEB画面(管理画面)及びメール送信 レポート機能 WEB画面及びPDFファイルダウンロード 月次レポート機能 解析エンジン KDDI研究所開発 解析結果 検知ファイルのソース表示及び検知箇所の色分け 検知ファイルのPDF化 導入方法 登録のみ エージェントレスで インストール不要 提供方法 SaaS型 サポート ネットワールド管理 月 日 365日 7時 22時 クロスドメイン許可機能 ホワイトリストURL機能にて対応 URL設定(検査対象) 管理画面より変更可能 独自機能 更新,障害,改ざんの判定 速度測定 コンテンツのダウンロードにかかる時間を測定しグラフ化 Webサーバ内全ファイルの検索 障害,遅延等のアラート モバイルサイトの監視 15
WebS Tサービス機能概要 2/2 検知機能 クロスドメインスクリプト Gumblarスクリプト検知 SQLinjectionによる改ざんページの検知 画像の差し替え検知 PDFファイルの差し替え検知 トライアルの有無 1カ月間の無償トライアル有り 有償サービスと同機能にてトライアル可能 サービス及びサポート サービス時間 計画停止予定通知 サポート時間(障害対応 一般問い合わせ) 24時間365日 (設備やネットワーク等の点検 保守のための計画停止時間含む) 14日前までにホームページで通知 対応日:月 金 09:00 17:00 休み:土 日 祝日 年末年始(12/29-1/3) 16
WebS@T導入事前調査結果 例 監視対象URL 名称 監視対象ファイル数 調査URL ご要望により監視可能 HTML ファイル アプリケーション 画像 ファイル ABCソフト株式会社 http://www.abc-soft.co.jp/ 116 15 329 ABC 法人サービスサイト http://www.business.abc.jp/ 171 10 534 ABC 通販サイト http://www.abc-estore.jp/ 313 24 1191 概算費用 想定ファイル数は HTMLファイル合計の1.5倍にて算出しております 想定ファイル数 月額費用 初期費用 最低利用期間 1 000ファイル 55,000円 税抜 55,000円 税抜 12ヶ月 上記監視対象ファイル数については ご依頼を頂きましたURLより算出をしております (尚 調査には WebS@T を使用しております ) また初期費用につきましては 1企業1アカウントによる算出としております 複数アカウントの登録の場合は 別途お打合せとさせて頂きます 17
主な Web サイト改ざんによる被害 1 エイチ アイ エス (H.I.S.) ウェブサイトが一時不正なスクリプトを読み込んでいたため 閲覧するとマルウェアへ感染する恐れあり サイトを閲覧する際に読み込む外部サービスの JavaScript が改ざんされていたもの 改ざん期間は 2014 年 5 月 24 日から 2014 年 5 月 26 日ごろ迄 日産自動車同社が運営する 下取り参考価格シミュレーション ウェブサイトが されていたことが判明 一部プログラムファイルが改ざんされ 外部サイトへ誘導されマルウェアがダウンロードされるようになっていた 改ざん期間は 2014 年 6 月 30 日 ~2014 年 8 月 23 日までの約 2 カ月間 大阪大学理学研究所同大理学部のウェブサイトが不正アクセスにより 改ざんされていたことが判明 同大学の職員がサイトにアクセスした際 セキュリティ対策ソフトによる警告により 改ざんに気が付く 改ざん期間は ~2014 年 6 月 12 日 8 時 30 分まで 鋳物おたすけ 110 番外部より不正アクセスを受けて改ざんされ 閲覧者にウイルスに感染の可能性があることが判明 サイトを閲覧すると ウイルスに感染する恐れがあった 改ざん期間は 2014 年 5 月 27 日 ~2014 年 6 月 9 にかけて 防災科学技術研究所 防災コンテスト のサイトが不正改ざんされ フィッシングサイトが設置されていたことが判明 参加申し込み受け付けサイトが改ざんされ 同サイト上にフィッシングサイトが設置されていた 8 月 9 日に昼過ぎに判明し サイトの運営を停止していた パトアルトネットワークス同社サイトがマルウェアへ感染するよう改ざんされていたことか判明 製品関連ページやパートナーの紹介ページなど 8 ヘ ーシ が閲覧者をマルウェアへんか感染されるよう改ざんされていた 改ざん期間は 2014 年 8 月 30 日 ~2014 年 9 月 5 日 18
主な Web サイト改ざんによる被害 2 鹿児島県指宿市ウェブサイトが改ざんされ 同師は公開を一時的に停止していた 9 月 19 日 10 時 15 分 ~20 日 17 時迄サイトを閉鎖 愛媛県武道館ウェブサイトが改ざんされ 不正なサイトに誘導するコードが埋め込まれていたことが判明 一時的にサイトを閉鎖した 技術評論社ウェブサイトが不正アクセスにより改ざんされていたことが判明 同社サーバーを運営する VPS 管理ページのアカウントを搾取され サーバーを OS ごと入れ替えられており外部 2 サイトにリダイレストされる状態となった 産経 health 外部からの不正アクセスにより サイトを書き換えられた可能性があり 10 月 29 日にサイトを閉鎖 確認したところ 同サイト内にフィッシングサイトが設置されていたことが判明した 改ざん期間は 2014 年 10 月 26 日 21 時半 ~ 2014 年 10 月 29 日 10 時半まで サイトの再開は 約 1 カ月半後の 2014 年 12 月 9 日 JA 全農世界書士カーリング選手権札幌大会 2015 職員がサイトを更新した際に被害に気付き サイトを停止した 改ざんされたのは チケットの一般発売に関するページで クリックすると関係のない不審なファイルがダウンロードされる恐れがあった 改ざん機関は 2015 年 2 月 14 日 13 時半過ぎ ~ サイト停止をした 16 日 13 時半ごろまで 熊本競輪熊本市が運営する熊本競輪のウェブサイトが改ざんされていたことが判明 ぜい弱性 (WordPress プラグインにおける既知のぜい弱性 ) を狙った不正アクセスが 2 月 19 日にあり サイトの改ざんが発生 関係ない外部サイトのデータを読み込む状態となっていた 19
主な Web サイト改ざんによる被害 3 成田国際空港公式ウェブサイトが不正アクセスを受け 改ざんされたことが判明 外部サイトへ融合されるよう改ざんされたもので サイトを一時閉鎖し メンテナンスを実施 サイトに導入していたコンテンツマネジメントシステム (CMS) が不正アクセスを受けたことが原因で改ざんされたページを閲覧すると マルウェアが感染する外部サイトへ誘導される状態となっていた 改ざんされていた期間は 2015 年 3 月 3 日 0 時過ぎ ~2015 年 3 月 5 日 1 時ごろまで ラ フォル ジュルネびわ湖滋賀県立芸術劇場びわ湖ホールは 同ホールで開催された音楽祭 ラ フォル ジュルネびわ湖 の公式サイトが不正アクセスにより改ざんされていたことを明らかにした 改ざんが発生したのは 同音楽祭の 2010 年から 2015 年までの公式サイト 閲覧をすると海外のサイトに誘導されてマルウェアに感染する可能性があった 改ざん期間は 2015 年 5 月 12 日 0 時 24 分 ~2015 年 5 月 15 日 12 時まで 20
主なWebサイト改ざんによる被害④ サイト改ざん 通販誘導 検索上位狙う新手口か インターネット通販と全く関係のない企業や団体の正規サイトが改ざんされ 日本語が不自然な通販サイトなどに転送される被害が相次いでいる 通販サイトを検索結果の上位に表示させるため正規サイトを利用しているようで 専門家からは検索結果を偽装する新手の サイト乗っ取り型攻撃 であり 管理者は自分のサイトを常にチェックしてほしいとしている 具体的な改ざん内容は 広島県内でバレエ教室を開いている60歳代の女性は 今年2月に活動内容を紹介 するサイトが改ざんされたことを外部からの指摘で知った 赤ちゃん用品 ベビーカー といったキーワードで検索すると 検索結果の 中にキーワードに関係ないバレエ教室のサイトが含まれていた バレエ教室のサイトの一部が改ざんされたことで 検索結果のタイトルには バレエ教室ではなく ヘビーカーのプランド名や 大幅値下げ といった文言が 表示される 閲覧者がタイトルをクリックすると バレエ教室のサイトのトップページは 表示されず 通販サイトへ瞬時に転送される仕組みだった 大手検索サイトの場合 解説したばかりの通販サイトより 信頼性の高い正規サイト の方が検索結果の上意に表示されやすいとされている 専門家は 攻撃者は この機能を悪用して正規サイトを経由させているのではないか と指摘している 読売新聞より 21
Webサイト改ざん 件数推移 Webサイト改ざんは 件数そのものは 減ってきてはいるものの 依然として 月250件以上の報告が続いています また改ざん報告が減少せず 横ばいが 続いているのは ウェブサーバー構築 に使用されたソフトウェアが古いバー ジョンのまま運用されていることが原 因と考えられています JPCERT/CC インシデント報告対応レポート より JPCERT/CC 改ざん傾向コメント 本四半期(2015年1月 3月)は Webの検索エンジンでブランド製品の名称などを検索すると 検索結果に大量の不審 なショッピングサイトが表示されるという報告を複数受領しました これらのWebサイトは 検索結果の表示では日本 語のショッピングサイトのように見えますが Webサイトのトップディレクトリにアクセスすると無関係なWebサイト であり 外部から不正にコンテンツを設置された可能性があります 22
水飲み場型攻撃 watering hole attack とは 水飲み場に集まる動物を狙う猛獣の攻撃になぞらえ 攻撃対象とするユーザーが普段アクセスするWebサイト 水飲み場 にコンピュータウイルスを埋め込み サイトを閲覧しただけでコンピュータウイルスに感染する ような罠を仕掛ける攻撃方法です 巨大なポータルサイトのように不特定多数のユーザーが訪問するサイトに限らず 特定の関心事や組織 業界 などのユーザーが訪問するWebサイトも 攻撃対象ユーザーを絞り込むための狩り場として狙われています NPO日本ネットワーク セキュリティ協会 最新のサイバー攻撃事情 より 株式会社ラック社 コメント この攻撃方法は 信頼されている企業や団体のWebサイトに サイト閲覧者を攻撃する不正プログラムを埋め込む 罠を仕掛けているため 訪問者の油断を誘い 攻撃を受けるリスクや実際に攻撃を受けたことに気付かせにくくする という意味で大変深刻なものです この攻撃による被害が国内でも確認されたことで これまで広く呼び掛けられてきた 怪しいサイトには近づかない というセキュリティ対策が不十分なものになりました 23
Webサイトの改ざん が拡大中 現在 国内の正規 Webサイトが不正プログラムによって改ざんされる事象が相次いでいます 改ざんされた Webサイトを閲覧すると FTPアカウント情報 サーバアドレス アカウント パスワードなど を盗む 不正プログラムに感染します さらに攻撃者は感染PCから盗んだ FTPアカウント情報を使用して 別のWebサイトを 改ざんするなど 複数の Webサイトが連鎖的に被害にあう可能性があります これらの一連の改ざんの流れにおいて アプリケーションの脆弱性を利用して感染する不正プログラムなど 複数の 不正プログラムがインストールされることを確認しています これらは通称 ガンブラー と呼ばれている脅威です ガンブラー によるWebサイト改ざんから感染までの流れ 感染までの流れ 1. 改ざんされたWebサイトへのアクセス ユーザが改ざんされた Webサイトを閲覧すると 表面上では 正規サイトが表示されますが 裏では埋め込まれた JavaScript により 不正な Webサイトへのリダイレクトが行 われており リダイレクト先からは不正プログラムがダウン ロード 実行されます ダウンロード 実行される不正プログラ ムは Adobe Reader および Adobe Flash Player の脆 弱性などを利用して ユーザの PC へさらに不正プログラム を作成します 2. FTPアカウント情報の収集 改ざんされた Webサイトを閲覧し 不正プログラムに感染し た PC では 不正プログラムがネットワーク接続を監視し FTPサーバへ接続する際のサーバアドレス アカウント パス ワードなどを盗み出し外部のサーバへ送信します 3. 収集した情報を元に攻撃者が Webサイトを改ざん 攻撃者は受信した FTPアカウント情報を利用し FTPサーバ に保存されている Webサイトのファイルを不正に書き換える ことで改ざんを行い ガンブラーを拡散させます 改ざんされ た正規 Webサイトには 不正な Webサイトへリダイレクトす る JavaScript が埋め込まれます 24
内容に関するお問い合わせは 株式会社ネットワールド 0120-9292-09 E-mail:service@networld.ne.jp ( 受付 9:00~17:30) <WebS@T> https://www.kaizankenchi.jp/ WebS@T サービスのお試し利用のご用意もございます お申し込みは上記メールアドレスまでご連絡をください 25