Web サイト改ざんに関する注意喚起

JPCERT

概要

JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。
報告された情報によると、攻撃者は Web サーバに不正なファイルを設置することで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。

  • 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Webサイトのトップページに不正なファイルを読み込ませる処理 (以下) を追加する
    <script type="text/javascript" src="./index_old.php"></script>
  • 利用者が Web サイトを閲覧すると、上記不正ファイルが実行され、閲覧者の IP アドレス、閲覧日時等がログとして記録される

また、同調査活動は、Web サイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られます。
Web サイトの管理者は、「対策」を参考に、管理している Web サイトのコンテンツが改ざんされていないか確認するとともに、必要な対策を施すことを検討してください。

対策

確認事項

  • Web サイトのトップページ等に、以下の様な不正なファイルの読み込み処 理が書き込まれていないか確認する
    <script type="text/javascript" src="./index_old.php"></script>
  • Web サイトで公開しているコンテンツを確認し、不正なファイルが設置されていないか、コンテンツが改ざんされていないか確認する
  • Web サーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審な点がないか確認する
  • 不審な活動が確認された場合、Web サーバを保全の上、Web サイト更新に関連するアカウント、パスワードを変更し、警察または JPCERT/CCに相談する

対策

  • Web サーバで使用している OS やソフトウエアのセキュリティアップデートを実施する
  • TCP/20,21 (FTP) 、TCP/23 (telnet) を無効化し、SSH などのセキュアなプロトコルを用いて Web サイトのメンテナンスを実施する
  • Web サイトのコンテンツ更新を運用で使用する特定の PC (IP アドレス)からのみ実施出来るように制限する
  • Web サイト更新用のアカウント (SSH/CMS 等) のパスワードを強固なものに変更する
  • Web サイトのコンテンツのバックアップを取得し、差分確認を定期的に実施する

備考

最終更新日

2016.11.16

公開日

2016.10.25

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)