図3-1●「Webサイトが改ざんされている」と外部から報告されたら?
対応手順をまとめた。
[画像のクリックで拡大表示]
次に、自社のWebサイトを改ざんされた場合の初期対応を考えよう。標的型攻撃の場合と異なりWebサイトの改ざんは、社外から指摘される可能性が高い。初期対応の大まかな流れは次のようになる(図3-1)。まず報告者に、改ざんの状況をヒアリングする。その後、ヒアリングに基づいて改ざんの有無を調査し、確認できたらWebサイトを停止する。そして、今後の調査や対応の方針を検討。状況に応じて、セキュリティベンダーなどに調査や対応を依頼する。
この場合も、標的型攻撃の対応と同様に、時間との勝負だ。素早い対応が被害を最小限に抑える。
できるだけ詳細を尋ねる
報告者へのヒアリングでは、できるだけ詳しい情報を聞き出す(図3-2)。その情報が、今後の調査のベースになるからだ。
図3-2●まずは報告してくれた人にヒアリング
改ざんを報告してくれた人に尋ねるべきポイント。報告者がJPCERT/CCのようなセキュリティ組織の場合には、今後の対応方法などについても尋ねる。
[画像のクリックで拡大表示]