先日、複数の企業が導入しているECサイトで、
不正にサイトが改ざんされる事による、クレジットカード情報やセキュリティーコードが流出する事案が発生しました。
この事例では、ECサイトが不正に改ざんされていましたが、
改ざんはコーポレートサイトや、ポータルサイトなど、どのWEBサイトでも起こる可能性があります。
今回はそんなWEBサイトの不正改ざんについて、まとめてみたいと思います。
WEBサイトの不正改ざんとは?
WEBサイトの不正改ざんについて、今回の事例をもとに、説明したいと思います。
今回の場合、ECサイトの脆弱性をついた、不正アクセスにより
クレジットカードの情報を入力するフォームが改ざんされていたようです。
改ざんされたフォームは、外部に通信するようになっており、
ユーザーが入力したカード番号や、セキュリティーコードが外部に流出していたようです。
フォームは改ざんされた場合でも、見た目は変わらないため、ユーザーも運営側も気が付かない事がほとんどです。
脆弱性はプログラムのバグなどにより、本来意図しない動作をさせる事が可能な欠陥となります。
脆弱性は、導入しているシステムのバグ以外にも、WEBサイトで使っているPHPなどのプログラムが古い場合や、
プラグインなどの外部で開発したプログラムなど、様々な箇所から攻撃される可能性があります。
そのため、WEBサイトを運営している以上、誰にでもサイトを不正に改ざんされる可能性があると言えます。
WEBサイトが不正改ざんされたときの影響
WEBサイトが不正に改ざんされた場合、
WEBサイトやユーザーにはどのような影響が発生するのか、以下にまとめました。
1.WEBサイトの見た目が改ざんされてしまう
不正に改ざんされるプログラムには、HTMLやCSSなどの見た目に影響があるものも含まれます。
これらを改ざんされたサイトは、見た目が大きく変更されます。
個人情報などを取り扱っているサイトで、見た目が改ざんされた場合、
個人情報を預けているユーザーに不信感を持たれてしまうなどの影響が考えられます。
2.クレジットカード情報など、ユーザーがフォームに入力するデータを流出してしまう
こちらは最初にご紹介した事例になります。
クレジットカードの入力フォーム以外にも、お問い合わせフォームや、顧客情報入力フォームなど、
ユーザー側で入力をしてもらう全てのフォームで、情報を不正に取得される可能性があります。
3.サイトを閲覧したユーザーに対して、マルウェアなどに感染させる
サイトにアクセスしたユーザーに対して、マルエウェアに感染するよう改ざんされる可能性もあります。
マルウェアに感染したユーザーは、個人情報が漏洩や、気が付かない間にサーバー攻撃に加担されていたりなど、
様々な影響を受ける可能性があります。
WEBサイトの不正改ざんの対策
WEBサイトの不正改ざんへの対策としては、以下のものが考えられます。
1.WEBサイトのプログラムを最新の状態に保つ
上記でもご説明した通り、WEBサイトの不正改ざんはプログラムの脆弱性を突いて行われます。
バージョンの古いシステムや、プログラムを使っていると、多くの脆弱性がある状態でサイトを運用することになります。
そのため、システムやプログラムを最新の状態に保つのも、不正改ざんへの対策になります。
2.脆弱性診断ツールで、WEBサイトの脆弱性を調べる
運営しているWEBサイトについて、どのような脆弱性があるか調べるサービスが提供されています。
こちらのツールで検知された脆弱性を解消することで、不正改ざんのリスクを下げることができます。
3.改ざん検知機能を導入する
こちらはサイトが改ざんされているか、常にチェックするサービスを導入する対策になります。
どのページを監視するのか指定しておき、そのページに変更が行われた場合、
通知してくれるサービスになります。
こちらのサービスは改ざん検知と呼ばれており、サーバー会社やクラウドベースなどで、色々な企業から提供されています。
※導入には費用が発生します。
まとめ
今回はサイトが不正改ざんされた場合の影響や対策について、まとめてみました。
今回の事例のようにフォームを改ざんされている場合、見た目上は変化がないため、発見が遅れてしまいます。
また、クレジットカード情報や個人情報が外部に漏れる可能性があるため、影響は大きいものとなります。
運営しているサイトが改ざんされる可能性があるのか調べたり、どういった対策が必要なのか知りたいという場合は、ぜひ弊社までご相談ください。
最後まで読んでいただき、ありがとうございます。