日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

経営課題解決シンポジウム 情報漏えい対策編 Review|デジタル・インフォメーション・テクノロジー

デジタル・インフォメーション・テクノロジー Webサイトの改ざんを瞬間検知し
クリーンな状態に1秒未満で戻す

最近のサイバー攻撃で多用されるのが、標的企業のWebサイトを改ざんしてマルウェアを仕込む手口である。デジタル・インフォメーション・テクノロジーの橋本 円氏と飯嶋範崇氏は、電子署名を使った同社の瞬間検知・瞬間復旧の仕組みについて解説する。

Webサイト改ざんによる被害は社内にまで及ぶ

デジタル・インフォメーション・テクノロジー株式会社
商品開発部
ソリューション推進グループ
企画部長
橋本 円 氏

 「セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)に報告があった国内のWebサイト改ざん件数は、2013年で年間7000件超。2014年は少し減りましたが、それでも毎月400件程度あります」

 企業などのWebサイトが勝手に書き換えられてしまうWebサイト改ざんの現状について、デジタル・インフォメーション・テクノロジーの橋本 円氏はこう報告する。手口の巧妙化に伴って改ざんされた後も見た目が変わらないというケースも増え、未報告分を含めると実際の数はこの10倍以上に達するのではないかというのがデジタル・インフォメーション・テクノロジーの推測だ。

 そうしたWebサイト改ざんの多くは、アクセス者のPCにマルウェアを感染させることを目的としている。「アクセスした人のPCがマルウェアに感染すると、PC内の機密情報やクレジットカード番号が盗まれてしまう危険性があります」と橋本氏は語る。そのほかにも、オンラインバンキング利用時に不正送金を促したり、セキュリティソフトに成りすましライセンスの購入を促したりする、といった被害が報告されているという。

 さらに、ひとたびマルウェアに感染すると、被害が連鎖的に拡大していくことも多い。つまり、Webサイトにアクセスした株主・取引先・求人への応募者といった外部の人のPCが感染するだけでなく、その企業のシステム管理者のPCへの感染を介して、企業の内部に存在するサーバーにも被害が及びかねないのである。

 たとえば、ファイルサーバーや他のWebサーバーがマルウェア配布サイトに仕立て上げられてしまったり、業務サーバー内の重要な情報が盗まれてしまったり、といったケースである。橋本氏は、「脆弱性を突いた1カ所からの侵入をきっかけに企業の内部にまでセキュリティ脅威が広がってしまうことが、実際に起きています」と注意を促す。

マルウェア感染による被害の連鎖
脆弱性を突いた1カ所からの侵入により、社外からアクセスした人のPCだけでなく、社内のサーバーにも被害が及んでいく
[画像のクリックで拡大表示]

復旧させた後も新たな手口に備える

 それでは、Webサイトが改ざんされてしまった場合、企業にはどのような対処が求められるのか――。再発防止対策まで含めると、Webサイトの公開停止、公的機関への届け出、外部への広報、代替窓口の設置、被害者への対応、改ざん箇所の特定、原因究明、脆弱性対策、防御強化、Webサイトの復旧と再公開、と数多くの作業が発生する。平均的な所要期間は、1カ月から1カ月半だ。

 これらの作業のうち、改ざん箇所を特定するには“クリーン”だったときのバックアップデータと突き合わせて調べるのが一般的だ。そのうえで、原因が「ソフトウェアの脆弱性」か「認証を突破された不正アクセス」のどちらなのかを判定し、原因に見合った脆弱性対策と防御強化策をとるのが対処の定石だ。

 典型的な脆弱性対策/防御強化策として橋本氏が挙げたのは、ファイアウォール、侵入検知装置/侵入防止装置(IDS/IPS)、Web Application Firewall(WAF)、データベース暗号化、脆弱性診断とそれに基づく修正、認証の強化など。ただし、改ざんの手口は日々進化しているので、これらすべての対策を実施しても安心はできないという。

 「Webサイトの開発言語であるPHPについては、それまで知られていなかった脆弱性を悪用する新しい攻撃手法が毎月のように登場しています。同様にWebサイトのアプリケーションフレームワークであるApache Strutsに関しても、未知の脆弱性を突く攻撃が次から次へと生まれてきます」と橋本氏は語る。いったん強化した防御の仕組みもいつかは突破されることを考えると、防御突破を前提としたWebサイト改ざん対策を導入するべきと勧める。

得意の電子署名技術で瞬間検知・瞬間復旧

デジタル・インフォメーション・テクノロジー株式会社
執行役員
商品開発部
部長
飯嶋 範崇 氏

 このような企業ニーズにぴたりとはまるのが、デジタル・インフォメーション・テクノロジーのセキュリティソリューションであるWebARGUS(ウェブアルゴス)だ。技術面での特長は、同社のコア技術である「電子署名による原本真正性の確認」を利用して、システムがクリーンな状態だったときのバックアップデータを自動的に書き戻す仕組みを備えていること。その結果、内部・外部からの攻撃によってWebサイトが改ざんされてしまっても“瞬間的”にその事実を検知し復旧できるのである。

 従来のWebサイト改ざん検知ソリューションと比較すると、WebARGUSには「常時監視」「検知と復旧が高速」「Webサーバーにかかる負荷が小さい」といった特長がある。

 まず、あらかじめ設定された時刻に検知・復旧の処理が行われる従来の「定期監視型」と違って、WebARGUSはコンピュータのOS(オペレーティングシステム)が発する通知(イベント)を常に見張る「常時監視型」になっている。いつどの瞬間にWebサイト内のデータに対する変更・追加・削除・権限変更が発生しても検知・復旧できるので、“空白の時間帯”が生じることはない。検知から復旧までにかかる時間は1秒以下だ。

 また、OSから該当イベントが送られてくるまではシステムが待機状態となるため、監視に伴うWebサーバーへのCPU負荷は1%未満と低いためWebサイトの動作が遅くなってしまうこともなく、高価な高速コンピュータを導入する必要もない。

 実際のWebARGUSは、監視エージェント(WebARGUS-Agent)と管理マネージャー(WebARGUS-Manager)の2種類のソフトウェアで構成されている。監視エージェントは監視対象Webサーバーに組み込んでおくソフトウェアで、復旧するための元データ(バックアップデータ)の作成、OSからのイベントの取得、Webサイト改ざんを検知したときの書き戻しといった処理を担当。管理マネージャーは別のサーバーで動作し、各Webサーバー内の監視エージェントに対して、監視対象や改ざん検知時の動作を指示したり、監視エージェントからの改ざん・復旧に関する状況報告を受け取ったりといった役割を受け持つ。

 「WebARGUSを導入すると、これまでのセキュリティ対策ソリューションでは防げなかった種類のサイバー攻撃も検知・復旧できます」と橋本氏は語る。攻撃の手口に関わらず改ざんを検知・復旧するため、これまでのセキュリティ対策ソリューションでは取りこぼしてしまうような新タイプの攻撃や、Webサイト管理者になりすました不正アクセス者による「正規ルートからの改ざん」を確実に検知・復旧できるとアピールする。

WebARGUSを導入すると……
従来のセキュリティ対策ソリューションでは取りこぼしてしまうような新タイプの攻撃も、Webサイト管理者をかたる不正アクセス者による改ざんも検知・復旧できる
[画像のクリックで拡大表示]

 また、これまで1カ月かかっていた復旧時間を1秒以下に短縮できることは、Webサイト管理者にとっても経営層にとっても大きなメリットがある。Webサイトの公開を一時的に停止する必要はないし、原因究明・脆弱性対策・防御強化などの作業もWebサイトを動作させながらできる。代替のWebサイトを準備しておく必要もなく、“顧客離れ”による売上・利益への影響も気にしなくて済む。

 セッションの後半は、WebARGUSの実機デモンストレーションにあてられた。デジタル・インフォメーション・テクノロジーの飯嶋範崇氏は、Webサイトの改ざんとマルウェア配布サイトへの変更がどのように行われるかを実演したうえで、実際の改ざん発生時におけるWebARGUSの瞬間検知・瞬間復旧の動作を実演すると共に、管理マネージャーでの監視設定方法を説明。Webサーバーの構成情報をエクスプローラ形式で表示し、チェックボックスで簡単に監視設定ができる機能や、復旧元データの生成が自動で行われる点、製品本体/監視設定データ/復旧元データに電子署名を付与する事による、製品の動作に関わる改ざん検知も実装した高セキュリティ設計など、WebARGUSの優位性を訴求した。

お問い合わせ

デジタル・インフォメーション・テクノロジー株式会社

商品開発部 ソリューション推進グループ

TEL 03-6311-6600

E-mail webargus-jp@ditgroup.jp

URL https://webargus-jp.ditproducts.com/