アンチスパム対策の重要性と実践的な対策
2024.3.4
スマホのセキュリティ対策MTDとは?テレワークを導入している企業は必須の対策方法を解説!
2024.4.1WEBサイト改ざんの悪質な手口とは?被害内容など詳しく解説!
自社のWEBサイトを改ざんされ場合、運営する企業だけではなく訪れたユーザーにも不正送金や情報漏洩などの二次被害に繋がるケースがあります。
現在、多くの方はスマートフォンやタブレットを利用しており、日常的にWEBサイトを閲覧しているため、攻撃者はそのような状況に狙いを定め、ウイルスコードを仕込むことで個人情報や金銭の窃取を企てます。
WEBサイトを改ざんされることで、ユーザーからの問い合わせが殺到し対応に追われるという事態にも繋がりかねません。
この記事ではWEBサイト改ざんの手口や対策方法について解説します。
WEBサイト改ざんとは?
ウェブサイト改ざんとは、一般的に企業が運営するWEBサイトを勝手に変更されることを指します。
主な目的としては、マルウェアに感染させるために悪意のあるプログラムを埋め込まれる場合やWEBサイトで公表している内容を勝手に書き換えられたり、ユーザーが入力するフォームを改ざんし個人情報が外部に送信される仕様に変えられるなどがあります。
WEBサイト改ざんの悪質な手口
WEBサイト改ざんの手口として、大きく2つに分類されます。
① WEBサイトの脆弱性を突いた攻撃
攻撃者はWEBサイトに使用しているアプリケーションやソフトウェアの脆弱性を狙い、攻撃を仕掛けWEBサイトの改ざんを行います。
また、CMS(コンテンツマネジメントシステム)に脆弱性がある場合、プログラムが更新されるまでの間に狙われるゼロデイ攻撃といったものも存在します。
② アカウント乗っ取りによる攻撃
WEBサイトの管理者が使用しているPCをマルウェアに感染させてアカウント情報を窃取される場合もあります。
アカウントの乗っ取り被害に合うと、正規の方法でWEBサイトが改ざんされてしまうため改ざんの発覚が遅れてしまう傾向にあります。
そのため気づかないうちに被害に遭っている可能性があるため注意が必要です。
WEBサイトを改ざんされることで想定される被害とは?
WEBサイトを改ざんされることで様々な被害が想定されます。
例えば、改ざんされたWEBサイトに訪れることで、別の不正なWEBサイトに転送されてしまいマルウェアに感染してしまう場合もあります。
さらにECサイトだった場合は、クレジットカードの情報が盗み取られ金銭窃取に繋がる被害が想定されます。
いずれも運営元の企業だけではなく、ユーザーに対する二次被害と繋がるため運営をおこなう企業の信用問題にも繋がってきます。
WEBサイト改ざんの被害に遭った場合の対処法
WEBサイトを非公開にする
WEBサイトを改ざんされた場合は、直ちにWEBサイトを非公開にして外部からのアクセスを遮断しましょう。
そうすることで、二次被害の拡大を抑えることができます。
パソコンの状態を確認してWEBサイトの復元をおこなう
パソコン内部のセキュリティスキャン等をおこない脆弱性を解消させましょう。
セキュリティスキャンをおこなう際は、最新の状態にアップデートされているかも忘れず確認が必要です。
その後、バックアップデータからWEBサイトの復元をおこなう。
被害に遭った証拠を警察に提出
WEBサイトが改ざんされた場合は、不正アクセス禁止法違反になるため証拠を警察に提出しましょう。
また被害内容によっては、行政機関や公式サイトでの報告が必要となるケースもあります。
個人情報が漏えいした場合は、個人情報保護委員会と本人に報告
個人情報が漏洩した場合は、個人の権利や利益を侵害するおそれが大きいため、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。
これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により令和4年(2022年)4月からは義務となりました。
これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。
まとめ
現在、企業が自社のホームページを持つことが当たり前となっているため、そういった部分を攻撃者は上手く利用することで、金銭搾取や情報漏洩を企てます。
被害状況によっては、企業としての信用問題や損害賠償問題にも繋がりかねないため、ホームページを持つ企業は、普段から適切なセキュリティ対策と情報の管理をおこなう必要があります。
万が一WEBサイトの改ざん被害に遭った場合は、被害を拡大させないために直ちにWEBサイトを非公開にしネットワークやデバイス、データベースの正常化をおこなう必要があります。
その後、証拠を警察に提出をおこない個人情報保護委員会など関係各所に報告をおこなう必要がります。
今後より一層加速するデジタル社会において企業は、これまで以上にセキュリティ意識を持って行動することが求められるでしょう。
