データ改ざん

こちらでは、脆弱性におけるデータ改ざんについて紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。

データ改ざんの手口

データ改ざんとは企業などが運営するWebサイトやWebアプリケーションを攻撃し、コードを勝手に変更したり、攻撃者の違法サイトに飛ばすなど、本来の挙動とは違う操作に書き換える行為をさします。

具体的なデータ改ざんの手口で代表的なものは以下の2つです。

• システムの脆弱性を突いた改ざん
• 管理者アカウントの不正利用による改ざん

システムの脆弱性を突いた改ざん

WebサイトやWebアプリケーションの脆弱性を狙った攻撃には以下2つの手法があります。

• SQLインジェクション
• クロスサイトスクリプティング

SQLとは世界で最も普及しているデータベースの操作、制御するための言語です。「インジェクション」は英語で「挿入」や「注入」を意味しており、「SQLインジェクション」とはSQLのデータベースに不正データを注入し、情報の改ざんや消去を行うサイバー攻撃を指します。

過去にはSQLインジェクションによる被害で数十万件の個人情報が流出した事例もあります。

他の手法にはクロスサイトスクリプティングと呼ばれるサイバー攻撃があります。
これはWebサイトの記述言語であるHTMLに悪質なスクリプトを埋め込むことで、ユーザーが対象サイトのフォームに入力した個人情報や、Cookieの情報などを攻撃者に送るものです。

システムの脆弱性を突いた改ざんの手法も年々巧妙化しています。 マルウェアやセキュリティに関する知識が乏しい場合は信頼できるセキュリティソフトを使用する、専門業者に依頼して対策すると安心して事業を継続できるでしょう。

管理者アカウントの不正利用による改ざん

システムの脆弱性を狙った改ざん以外には、管理者アカウントの情報が流出し、不正利用されたことでデータを改ざんされてしまうケースもあります。また管理者アカウントが乗っ取られてしまった場合、システム上で不正アクセスの挙動を認識しにくいので改ざんの発覚が遅れてしまうことが多いです。自社のWebサイトやWebアプリケーションに登録した顧客の個人情報が流出すると、自社に対する社会的信用の失墜だけでなく顧客が犯罪に巻き込まれてしまう可能性が高まってしまいます。

そのため、継続的なサービス運営にあたっては管理者アカウントの情報保護には最善の注意を払う必要があります。

データ改ざんの対策例

FTPアカウント

FTPアカウントが盗まれて外部から内部ネットワークへ侵入されると、密かに内部からファイルやコードを改ざんされてしまいます。それによって重要な機密情報が大量に抜き取られてしまう危険性があります。

FTPは、主にウェブページを公開する作業で使用されるものです。このFTPアカウントが盗まれてしまうと、悪意のあるプログラムが仕込まれたウェブページがウェブサイトで公開されてしまいます。

情報を絞り込む

脆弱性データベースやニュースサイト、製品ベンダー、注意喚起サイトなどで、脆弱性に関する情報は多数公表されています。企業の経営者やIT担当者は、世の中に出回る膨大な情報から自社に関係の深い情報を絞り込むことが必要です。そのためには、参考にするサイトを選別して情報収集するか、IPA（情報処理推進機構）が公開している脆弱性対策支援ツール・サービスを利用するといいでしょう。

危険度を確認する

脆弱性に関する情報の中から自社に関連するものに絞り込めたら、次はその情報をもとに脆弱性の深刻度を確認しましょう。ここで目安となる基準がCWEやCVSS。脆弱性の特徴や自社システムへの影響度、攻撃状況などを確認・把握して、現在のセキュリティ状態での危険度を確認することをおすすめします。

データ改ざんが起きる原因

どんなシステムにも脆弱性はつきものです。運用を始めて、忘れた頃に脆弱性が発見されることもあります。脆弱性を悪用して企業を攻撃するサイバーテロリストは、常にターゲットを探すと同時に、新しい攻撃方法を編み出して狙っています。脆弱性への対策には終わりがありませんが、できるだけ被害を抑えるため脆弱性に関する理解と知識を深めるとともに、効果的な対策を講じなければいけません。

本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。

専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。

［状況・課題別］
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる