Webサイトの改ざんが相次いでいる。だが、すぐには対応されずウイルスをまき散らし続けているWebサイトが後を絶たない。ほとんどの企業にはセキュリティ担当者がいるはずだ。それにもかかわらず、なぜ放置されてしまうのだろうか。

 エイチ・アイ・エス、ワコールホールディングス、はとバス、トヨタ自動車、環境省――。2013年以降、Webサイトを改ざんされた企業や組織の一例だ。

 エイチ・アイ・エスのWebサイトが改ざんされたのは2014年5月。外部委託先のサーバーへの不正アクセスが原因だった。ワコールのWebサイトは2014年3月に改ざんされた。改ざん判明後、同社はグループのWebサイトを全て閉鎖。主要サイトの再開までに約1カ月を要した。はとバスのWebサイトは2014年2月に改ざんされ、17日間閉鎖。大きな機会損失を被ったという。

 これらの例に限らず、Webサイトを改ざんされて、ウイルス感染のわなを仕込まれるケースが頻発している。大手企業でさえ相次ぎ被害に遭う現状を見ると、いくら守りを固めても、100%防ぐのは難しいことが分かるだろう。今、企業のセキュリティ体制の在り方が根本から問われている。

届かないインシデント情報
分からない脆弱性の影響度

 Webサイトにウイルスのわなが仕込まれても、Webページの表示は変わらないので気付きにくい。このため、そのWebサイトに実際にアクセスした一般のユーザーが、改ざんの第一発見者になることが多い。だが、誰に連絡すればよいのか分からないことがほとんどだろう(図1)。

図1●社外に対する情報の窓口やインシデント対応のフローが決まっていない企業のWebサイトが改ざんされた場合の例
図1●社外に対する情報の窓口やインシデント対応のフローが決まっていない企業のWebサイトが改ざんされた場合の例
担当者がいるのに、Webサイトの改ざんを放置
[画像のクリックで拡大表示]

 国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)早期警戒グループ情報分析ライン リーダーの満永拓邦氏は次のように証言する。「JPCERT/CCが、特定の企業を狙ったインシデント(セキュリティ上の事件・事故)の情報をつかみ、その企業に報告しようとしても、窓口を用意していない企業が多い。そういった企業に対しては代表番号に電話をするが、話がなかなか通じない。怪しまれたり、セールスの電話だと思われたりして、切られることもある」。