Web改ざん検知とは？検知の仕組みやツールについて詳しく解説

Web改ざん検知とは

Web改ざん検知とは具体的にどのようなものなのでしょうか。

Webサイトを監視し、不正な改ざんを検知すること

Webサイトのコンテンツを保存しているサーバに不正侵入し、テキストやファイルを改ざんしたりマルウェアを仕込んだりすることをWeb改ざんと言います。情報の売買や、盗み取ったアカウント情報による金銭の詐取など、さらなる被害につながるおそれのあるサイバー攻撃です。

このWeb改ざんをITシステムによって検知することをWeb改ざん検知と言います。Webサイト上の変更が正当なものなのか、悪意ある第三者によってもたらされた改ざんなのかを検知します。

以前は、自社でWeb改ざん検知を行うにはサーバなどを用意してオンプレミス型のシステムを構築する必要がありました。しかし、近年はクラウド型で導入コストの低いWeb改ざん検知サービスも提供され、手軽に利用できるようになっています。

企業の信頼性を保つために必要

Web改ざんにおいて、攻撃者に狙われる対象は主に以下の４つです。

コンテンツ

文字や数字、画像などです。改ざんされるとWebコンテンツの整合性が損なわれます。

ファイル

主にアプリケーションの設定ファイルなどです。設定を改変されると正常に動作しなくなります。

サーバ

WebサーバのOS構成などです。内部の情報を盗まれたりマルウェアを仕込まれたりします。

ネットワークセキュリティ

ルータやファイアウォールなどの、セキュリティソフトの書き換えです。セキュリティが弱体化し、さまざまな脅威へ対抗できなくなります。

上記はいずれも、企業としての社会的信頼を大きく損なう脅威です。サービスが適切に使えない状態ではユーザーは離れていきます。また、情報流出やセキュリティトラブルなどが公になれば、大きな事件として取り扱われることになるでしょう。こうしたリスクに備えるために、Web改ざん検知を導入する必要があります。

Web改ざん検知の仕組み

続いて、Web改ざん検知の仕組みを解説します。

１．HTTP通信

HTTP通信とは、HTMLで記載された情報をWebサーバとクライアント間でやり取りするための通信方式です。普段私たちがブラウザを使ってWebサイトを閲覧する際も、HTTP通信が行われています。

この通信方式を利用してWeb改ざん検知を行えます。システムが自動的に対象のWebサイトへアクセスし、不正な変更がないか確認するように設定するのです。人がWebサイトを目で見て確認する作業を、そのままITシステムに代行させる方式と考えると分かりやすいでしょう。

HTTP通信によるWeb改ざん検知は極めてシンプルなのが魅力です。監視対象URLを指定するだけで済みます。ただし、Webサイト上に公開されていない、設定系のファイルなどに対する改ざんは検知できません。また、内部リンクがないページへは遷移できず、これも監視対象外です。いずれも、監視対象にアクセスするというシンプルな仕組みであるがために生じる問題です。

不正なファイルパターンと照合する「パターンマッチ型」

過去に行われたWeb改ざんの事例と照合し、検知する方法です。よく使われるパターンの攻撃手法には高い効果を発揮します。

しかし、未知の脅威は検知できません。また、画像ファイルや未対応フォーマットは監視対象外です。

仮想PCで動作させる「振る舞い分析型」

振る舞い分析型は、仮想環境で監視対象のプログラムを作動させ、有害な結果がもたらされないかどうかを判断する方法です。仮想環境で試験的に動作させて判断する特性上、未知の脅威であっても有害でさえあれば検知できます。パターンマッチ型では検知できない未知の脅威へも対応できるのです。

ただし、仮想環境にはPCのOSやブラウザなど多様な要素が絡みます。あらゆる環境において有害でないことを示すには、膨大な組み合わせの環境を構築して分析しなければなりません。また、有害な結果がもたらされることが分かっても、それがどのファイルによるものなのかを特定するのは困難です。

２．FTP・SFTP通信

FTPは「File Transfer Protocol」の略で、ファイルをサーバへ送るための通信方式です。一方、SFTPは「SSH File Transfer Protocol」の略で、情報に対してSSHで暗号化を施す通信方式を指します。

この通信方式を用いてWeb改ざん検知を行うことも可能です。Webサーバにアクセスし、すべてのファイルを監視します。

Webサイト上で出力されているコンテンツしか監視対象にできないHTTP通信方式と異なり、あらゆるファイルを監視できるのが魅力です。ただし、設定が複雑なのが難点です。

ハッシュ計算により変更を検知する「ハッシュリスト比較型」

ハッシュ計算とは、特定のルールに基づいてデータを加工することです。同じデータをハッシュ計算すると、必ず同じ結果が得られます。反対に言えば、ハッシュ計算の結果が異なっていれば、元のデータに何らかの改変が加えられたことが分かるという意味です。

この仕組みを利用したのが、ハッシュリスト比較型のWeb改ざん検知です。定期的に監視対象ファイルのハッシュ計算を行い、リスト化します。そして、前回の計算と違う結果が得られたら、改ざんがあるとして検出するのです。正常な更新に対しても反応するため、運用者側で更新と改ざんを区別して認識する必要があります。

原本ファイルを保管して比べる「原本比較型」

監視対象の原本を保管し、それと実際のWebサイトを比較することで改ざんを検知する方法です。ハッシュリスト比較型と異なり、ハッシュ計算を行うことなく比較します。改ざんと普通の更新の区別がつきやすいのが特長です。また、原本に基づく自動復旧もできます。ただし、更新する度に改めて原本を用意しなければなりません。

Web改ざん検知ツールとは

ここまでで紹介してきた仕組みを利用し、実際にWebサイトを監視するシステムをWeb改ざん検知ツールと言います。自社のWebサイトを改ざんから守るには、このWeb改ざん検知ツールの導入が現実的な対策となるでしょう。

Web改ざんが検知されたら、ツールがアラート機能などで管理者に知らせてくれます。人力のみで検知を目指すよりも迅速かつ確実で、大きな被害が生じる前に対処できます。ツールの導入には費用が掛かりますが、結果としてWebサイトの管理に要する人件費を削減できるでしょう。

Web改ざんツールは、監視対象のWebサイトが管理されているサーバに導入するものと、外部のサーバから監視対象にアクセスする形式のものがあります。前者はサーバの負荷が大きいものの、リアルタイムな検出が可能です。後者はサーバの負担が軽く、クラウド型に適しています。

Web改ざん検知でセキュリティを強化しよう

Web改ざん検知とは、Webサイトを監視し第三者による不正な改ざんを検出することです。サービスへの妨害や情報流出といった問題を防ぐために求められます。

主な仕組みにHTTP通信とFTP・SFTP通信方式があります。いずれもWeb改ざん検知ツールで利用可能です。この機会にWeb改ざん検知ツールの導入を検討してはいかがでしょうか。