自社のWebサイトを改ざんされた場合の初期対応を考えよう。標的型攻撃の場合と異なりWebサイトの改ざんは、社外から指摘される可能性が高い。初期対応の大まかな流れは次のようになる(図1)。
図1●「Webサイトが改ざんされている」と外部から報告されたら?
対応手順をまとめた。
[画像のクリックで拡大表示]
まず報告者に、改ざんの状況をヒアリングする。その後、ヒアリングに基づいて改ざんの有無を調査し、確認できたらWebサイトを停止する。そして、今後の調査や対応の方針を検討。状況に応じて、セキュリティベンダーなどに調査や対応を依頼する。この場合も、標的型攻撃の対応と同様に、時間との勝負だ。素早い対応が被害を最小限に抑える。
できるだけ詳細を尋ねる
報告者へのヒアリングでは、できるだけ詳しい情報を聞き出す(図2)。その情報が、今後の調査のベースになるからだ。
図2●まずは報告してくれた人にヒアリング
改ざんを報告してくれた人に尋ねるべきポイント。報告者がJPCERT/CCのようなセキュリティ組織の場合には、今後の対応方法などについても尋ねる。
[画像のクリックで拡大表示]
最初に聞くべきは、改ざんされたWebページのURLやタイトルだ。次に、そのWebページがどのような状況になっているのか、なぜ改ざんに気付いたのかを尋ねる。例えば、「Webページの見た目が大きく書き換えられているので、すぐわかった」や「Webページにアクセスしたら、ウイルス対策ソフトが警告を表示した」といった回答が予想される。
最近の主流は、Webページにウイルス感染のわなを仕込む改ざんだ。この場合、Webページの表示は変わらないことがほとんどなので目視ではわからない。だが、ウイルス対策ソフトを使っていれば検出できる可能性がある。ある特定のWebページにアクセスしたと同時に警告が表示されれば、ユーザーの多くは、そのWebページに問題があると思うだろう。