Webサイトの改ざんが相次いでいる。だが、すぐには対応されずウイルスをまき散らし続けているWebサイトが後を絶たない。ほとんどの企業にはセキュリティ担当者がいるはずだ。それにもかかわらず、なぜ放置されてしまうのだろうか。
エイチ・アイ・エス、ワコールホールディングス、はとバス、トヨタ自動車、環境省――。2013年以降、Webサイトを改ざんされた企業や組織の一例だ。
エイチ・アイ・エスのWebサイトが改ざんされたのは2014年5月。外部委託先のサーバーへの不正アクセスが原因だった。ワコールのWebサイトは2014年3月に改ざんされた。改ざん判明後、同社はグループのWebサイトを全て閉鎖。主要サイトの再開までに約1カ月を要した。はとバスのWebサイトは2014年2月に改ざんされ、17日間閉鎖。大きな機会損失を被ったという。
これらの例に限らず、Webサイトを改ざんされて、ウイルス感染のわなを仕込まれるケースが頻発している。大手企業でさえ相次ぎ被害に遭う現状を見ると、いくら守りを固めても、100%防ぐのは難しいことが分かるだろう。今、企業のセキュリティ体制の在り方が根本から問われている。
届かないインシデント情報
分からない脆弱性の影響度
Webサイトにウイルスのわなが仕込まれても、Webページの表示は変わらないので気付きにくい。このため、そのWebサイトに実際にアクセスした一般のユーザーが、改ざんの第一発見者になることが多い。だが、誰に連絡すればよいのか分からないことがほとんどだろう(図1)。
国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)早期警戒グループ情報分析ライン リーダーの満永拓邦氏は次のように証言する。「JPCERT/CCが、特定の企業を狙ったインシデント(セキュリティ上の事件・事故)の情報をつかみ、その企業に報告しようとしても、窓口を用意していない企業が多い。そういった企業に対しては代表番号に電話をするが、話がなかなか通じない。怪しまれたり、セールスの電話だと思われたりして、切られることもある」。