ウェブサイト改ざん対策
ウェブサイトが改ざんされてしまうと、無関係の画像やメッセージがが掲載されるほか、個人情報の漏えいやサイト閲覧者がウィルス感染するおそれがあり危険です。
ウェブサイトのセキュリティ対策について見直し・点検をしてみましょう。
ウェブサイト改ざんの手口
- 窃取したアカウント情報を悪用した不正アクセスによるもの
- ソフトウェアのぜい弱性を突いたもの
- 組織内のアクセス制御機能の不備をついたもの
(被害イメージ)
ウェブサイト安全性向上のための対策
独立行政法人情報処理推進機構ウェブサイト「安全なウェブサイトの作り方」別ウィンドウで開くをご参照ください。
(対策内容の一部)
1 ウェブサーバに関する対策
- OSやソフトをのぜい弱性情報を継続的に入手し、ぜい弱性への対処を行う
- 不要なサービスやアカウントを停止または削除する
- 公開を想定していないファイルをウェブ公開用のディレクトリ以下に置かない
2 DNSに関する対策
- ドメイン名及びそのDNSサーバの登録状況を調査し、必要に応じて対処を行う
- DNSソフトウェアの更新や設定を見直す
3 ネットワーク盗聴への対策
- 重要な情報を取り扱うウェブページでは、通信経路を暗号化する
- 利用者へ通知する重要情報は、メールで送らず、暗号化されたhttps://のページに表示する
- ウェブサイト運営者がメールで受け取る重要情報を暗号化する
4 フィッシング詐欺を助長しないための対策
- EV SSL証明書を取得し、サイトの運営者が誰であるかを証明する
- フレームを利用する場合、子フレームのURLを外部パラメータから生成しないように実装する
5 パスワードに関する対策
- 入力フィールドでは、パスワートは伏せ字で表示されるようにする
- パスワードをサーバ内で保管する際は、平文ではなくソフト付きハッシュ値の形で保管する
ウェブサイト改ざん発見のための着眼点等
□ 会員入力画面や購入画面等に不審なJavaScriptが蔵置されていないか
□ 入力画面が不正なURLになっていないか、いつもと違う画面が表示されていないか。
□ Webサーバ、FTP、SSH等のログに不審なアクセスがないか
【改ざんされたウェブサイトの発見方法】
①検索サイトで『site:○△□.co.jp』など『site』の後に自社のウェブサイトのドメイン名を入力
②自社の公式ウェブサイトが表示
自社の公式ウェブサイトとともに、自社の業務とは全く関係のないウェブページが表示されれば、ウェブサーバ改ざんの可能性大
ウェブサイトが改ざんされていたら…
アクセスログ等の保存
直ちにサービス停止し、管理者画面やデータベースへのアクセスログの保存・印字等を行い、証拠を保全してください。
警察への通報・相談
保存したアクセスログのほか原因特定のため参考となる資料等を持参して、警察へ通報・相談してください。なお、事前に電話で担当者と日時や持参する資料の調整をしていただくと対応がスムーズに進みます。