1.13 WebPage改ざん

Web Pageの改ざんは、本来提供していたページが第三者による改ざんや、 全く別のページと入れ替わることを指します。

改ざんの手法は大きく分けて4つあります。

(1)直接の侵入による改ざん

直接侵入する場合、必要なものはページを書き換える権限を持つアカウントです。このアカウントは、ページの更新が可能なアカウントやrootやAdministratorといった管理者のアカウントです。

書き換えの権限のあるアカウントで特に注意しなければならないものは、ISPからWebの領域を借りている場合です。
通常の運用では、テストを行ったページを更新するためにFTPを使用しデータをPUTします。このときに、ユーザ名やパスワードの盗聴を受けたり、パスワードを解析されると、攻撃側にアカウント情報が渡ってしまいます。

特に、ユーザ名が判っており、類推しやすいパスワードを設定している場合は、辞書攻撃によってアカウント情報を知られてしまうことや、パスワードの更新間隔が長いためにブルートフォースアタックによって知られてしまうことがあります。

アカウント情報が知られてしまうと、攻撃側にとってはアカウント情報が変更されるまでは何度でも対象となるページを書き換えることができます。書き換えページの内容は、主に成人向けの内容や、政治的な内容、特定の企業や個人を誹謗中傷する内容が中心となるため、書き換えられたサイトにとって信用を失うものばかりとなります。

(2)IIS、Apacheのセキュリティホールからの侵入

Web Page改ざん手口として知られている侵入方法で、OSなどにセキュリティホールがある場合、実行ファイル、ライブラリ、機能拡張モジュールなどにバッファオーバーフローを仕掛け、管理者権限を奪取します。

最近の改ざん手口の多くがこの手法であり、クラッカ達が既知のセキュリティホールを確実に狙っている状況がはっきりしています。OSメーカ等の情報は逐次収集し、リリースされるセキュリティパッチを確実に適応する必要があります。

(3)DNSのエントリの書き換え

DNSのエントリを書き換える手法もあります。

本物のページには触らず、DNSのエントリ(ドメイン情報)を変更する方法です。これによって、全く異なる攻撃者が用意したWebサーバを指し示すように書き換えることによって改ざんされたかのように見えるようにするものです。

たとえば、DNSでwww.ipa-sec.comのIPアドレスが192.168.0.1であった場合、 このIPアドレスを172.16.0.1に書き換えてしまうことによって別のサーバを参照することになります。この172.16.0.1に用意しておいた改ざんされたページを置くことによって、 本来サービスを提供している筈の192.168.0.1を攻撃者が管理するサーバに置き換えることができるのです。

DNSにより改竄に見せかける方法

DNSにより改ざんに見せかける方法

このような攻撃を受ける場合は、主にWebサーバのセキュリティを高めているものの、 DNSサーバのセキュリティ確保を行っていないという環境に多く発生しているようです。

このような攻撃を防ぐには、DNSのセキュリティホールを塞ぐことや、ゾーン転送を禁止する設定を行うことが必要です。
また、DNSは、メールシステムやWeb環境と並んで多くのセキュリティホールが報告されているため、日頃から情報収集を行うことと、システムの状態を把握することが重要です。

*DNS(Domain name system):サーバのアドレスはIPアドレス(例:192.168.0.1)によって識別されるが、一般的には人間が記憶しやすいようにドメイン(ipa.go.jp)に置き換えられている。 利用者がドメインによってサーバへの接続を開始するとDNSがドメイン情報データベースから該当のIPアドレスを参照し、通信が実行される。

(4)whoisエントリの書き換え

意外に多発していたのがwhoisエントリの書き換えによるものです。

攻撃対象のドメインを管理している組織に対し、 対象となるドメインの管理者を装いDNS書き換えの申請を行います。

また、このドメインを管理している組織は、 他企業と提携し登録や管理の業務を行っている場合もあり、 直接管理組織そのものに対して管理者を装わずに、 提携先の中で最も簡単に偽装できるところに対して管理者を装うのです。

この場合、簡単な認証が行われますが、 たとえばメールのFrom:アドレスのみで認証する場合は非常に危険です。また、これは自サイトの努力で防ぐことのできるものではありません。

幸いこの組織は最近改編され、whoisの認証システムもWebベースの新しいものに変わりました。


前へ ホームへ 次へ

    © 2002 Information-technology Promotion Agency, Japan. All rights reserved.