2018年10月1日に道内企業のサイトが20サイト以上(但し、.jpドメインのみ)、改竄される事件が発生した模様です。
弊社で調査をしたところ、あるウェブ制作会社が管理しているサーバーに入っているサイトのうち1サイトにウェブシェルというプログラムが仕込まれていることを発見しました。ウェブシェルとは画像のようなインターフェイスを持ち、サーバー上にファイルをアップロードしたり、サーバーのコマンドを実行したり出来るプログラムで、これを設置されると実質的にサーバーを乗っ取った状態になります。このウェブシェルから同一サーバー上にある複数のサイトを改竄したと推定されます。
一般的にウェブシェルが設置される原因としては、サイト上で使っているプログラムの脆弱性を突くか、サーバーアカウントの脆弱性(推測可能なアカウント名+強度の弱いパスワードの組み合わせ)を突くかの2点になります。今回の場合は後者の可能性が高いと推定しました。
今回は、ウェブ制作会社が比較的速やかに改竄されたページの削除をした模様で、弊社で調査した段階では改竄された状態を確認することはできませんでした。ただ、改竄の実行犯が改竄されたページの列挙をしていたのと、対応者が気が付かなかったのか設置されたウェブシェルが残っていたため改竄の事実を把握しています。改竄されたサイトの所有者名は挙げませんが、個人事業規模のお店から中小企業まで幅広くターゲットになっていました。基本的に攻撃者は企業の規模に関係なく無差別に攻撃しますので、ウェブサイトを持った時点で改竄の可能性があることを認識すべきだと考えます。
改竄されないための対策は幾つかありますが、今回のようにウェブ制作会社が用意したサーバーにサイトを置く場合には他のサイトからの飛び火による被害も発生しがちですので、契約段階で改竄に対する責任の所在の明確化、および、攻撃を防御するための努力を求める必要があります。実は、ウェブ制作会社にはサイバー攻撃に関する知識が豊富な方が殆どおらず攻撃の防御ができないケースが多いので、契約に先のような条項を盛り込むのを嫌う傾向がありますが、利用者側から言わなければ泣き寝入りと言う事にもなりかねませんのでハッキリと言っておく必要があります。
また、今回のように対応が不十分な場合は二度三度と改竄されることがありますので、キッチリと対策し報告するようなウェブ制作会社を選ぶ必要があります。
場合によっては有償になりますが具体的なアドバイスを弊社で行っておりますので、是非とも問い合わせフォームからお問い合わせください。所属の情報処理安全確保支援士(登録セキュスペ)が対応させていただきます。