Web改ざん対策
企業の顔ともいえるホームページが改ざんされることはイメージダウンに繋がり、ビジネスに大きなインパクトを与えかねません。例えば、オンラインショッピングのサイトで値段が書き換えられてしまうと、収益面で大きな被害が発生するでしょう。
最近では、外見が全く変わっていないにも関わらず、外部サイトへリンクを埋め込まれる改ざんもあります。外部サイトにはウィルスやマルウェアがあり、閲覧者が知らないうちにダウンロードされてしまうという悪質なケースです。この場合は、単に企業のイメージダウンに留まらず、Webの閲覧者にも多大な迷惑を掛けてしまいます。
Web改ざん対策 何を監視すれば良い?
Web改ざん対策として、監視すべきものは以下のような項目になります。
- Webコンテンツ
Web改ざん対策の対象として、Webコンテンツは必須の監視対象です。Webコンテンツを構成するすべてのファイルを監視します。
- アプリケーションの構成ファイル
HTTPサーバやWebアプリケーションサーバの実行ファイル、ライブラリファイル、設定ファイル、データファイル、ログファイルなどを監視します。設定ファイルが改ざんされると、不正なコンテンツに誘導することも可能なため、設定ファイルの監視は重要です。また、アプリケーションの構成ファイルの改ざんがコンテンツ改ざんの足がかりになる場合があるため、監視すべき項目と言えます。
- WebサーバのOS構成ファイル
WebサーバのOS構成ファイルを監視することは、Webのサービスを問題なく運用して行くためには欠かせない監視対象です。OSの重要なファイルの整合性を保つことは、Webコンテンツの改ざんを防止するために必要です。
- DBサーバとDBの構成ファイル
DBサーバを有するWebシステムの場合、DBサーバのアプリケーション構成ファイルとOS構成ファイルを監視することも重要です。更に、Tripwire Enterprise/DBを用いて、DB内の構成情報を監視すれば、より効果的な対策になります。
- ネットワーク機器(ルータやファイアウォールなど)
ネットワーク機器は、Webシステムへのアクセスを制御する設定を持っています。ネットワーク機器の構成データの改ざんに気がつかないことは、門の施錠を忘れた家に例えられます。
Web改ざん検知から対処までのプロセス
Web 改ざん対策を考える場合、改ざんされた箇所だけバックアップから戻せば大丈夫、と思っていませんか ? しかし、あなたの Web を改ざんした犯人は、次回の改ざんで更なる被害を与えるために、バックドアや悪意のあるファイルを仕掛けているかもしれません。本当に有効な Web 改ざん対策をとるためには、改ざんを検知し、復旧させるだけでなく、被害状況の正確な把握、改ざんの原因の究明、さらなる改ざん / 侵入を防ぐための対策をとることが必要です。
大きく分けて 5 つのステップに分かれる Web 改ざん対策において、Tripwire Enterpriseは有効です。
- 証拠の自動収集
- 改ざん実行犯の特定
- 悪意のあるプログラムの特定
- 追加されたファイルの削除
- バックアップからのリストア
- 完全復旧したか監査
Web が改ざんされてしまった場合、対外的影響を最小に抑えるためにも、改ざんされた Web を速やかに非公開にする必要があります。そして、被害状況、原因究明を迅速に行い、適切な対応の後、Web をできるだけ早く復旧させなければいけません。
Step 1. Web 改ざんのすばやい検知
Web 改ざん対策を考える場合、第一に Web 改ざんを迅速に検知し、対外的影響を最小限に抑えるための対応をとらなければいけません。そこで必要となるのが、以下の対策です。
- 正しい状態のコンテンツと比較し、改ざんを発見次第対処
- 被害拡大を防ぐため、ネットワークを切断
Tripwire Enterpriseと他製品では、大きく次のような違いがあります。
| Tripwire Enterprise |
他製品 |
- リアルタイム検知(対応しているプラットフォーム)
- Hash関数による改ざん検知(MD5,SHA-1,SHA-256,SHA-512)
- ファイルの属性チェック(ACL、タイムスタンプ等)
- ファイル単位の監視スケジュール
- レジストリの改ざん監視(Windows)
- マルチプラットフォーム(Windows/Linux/Solaris/HP-UX/AIX)
- 改ざんの自動判別機能
- 自動実行コマンドによる外部ネットワークの切断
|
- Hash 関数による改ざん検知(MD5)
- イベントドリブンのチェック(オーバーヘッド)、スケジュール併用
- 対応プラットフォームが限定的
|
Step.2 詳細な被害状況の把握
Web 改ざんが発見された場合、なにが改ざんされ影響を受けたのか把握するために、改ざんされたファイルを特定し ( HTML 、Web 設定ファイル、プログラム ) 、すべての変更点を発見することがリカバリーの第一歩になります。そこで必要となるのが以下の対策です。
- Web コンテンツだけでなく、Web サービスプログラム、設定ファイル、OS ファイルも含めた改ざんの監視
- リカバリーするべきファイルリストの作成
- 悪意をもって追加 / 削除されたファイルの検知
Tripwire Enterpriseと他製品では、大きく次のような違いがあります。
| Tripwire Enterprise |
他製品 |
- ファイル単位で追加 / 削除 / 変更されたすべてのファイルを特定
- 内容は同じでもセキュリティ設定 ( アクセスコントロール ) をかえられたファイルも検知
- 何が変更されたのか、監視属性とコンテンツにて変更点を表示
|
- ファイル単位で追加 / 削除 / 変更された Web 関連ファイルを特定
- コンテンツが変化したものだけ検知
|
Step.3 原因の究明
被害状況を把握した後、悪意のあるプログラム ( バックドア、トロイの木馬等 ) が置かれていないか、改ざん実行犯は誰なのかなど Web 改ざんの原因を究明すると同時に、証拠を自動収集し、証拠保全しなければいけません。そこで必要になるのが、以下のような対策です。
- 侵入者が消去する前に、侵入の形跡を収集
- パケットモニター等を起動し、侵入者の行動を記録する復旧
- 誰がファイルを改ざんしたか特定
- Rootkit やキーロガーのような内部情報漏洩を行うプログラムを探し、侵入経路を発見
Tripwire Enterpriseと他製品では、大きく次のような違いがあります。
| Tripwire Enterprise |
他製品 |
- 自動実行コマンドによる証拠収集作業
- どのユーザIDが変更したのか、監査情報を取得(いつ、誰が、何を改ざんしたかをレポート)
- Web 関連以外のファイルも改ざんチェックの対象
|
|
Step 4. 対策
被害状況、原因が究明されたら、再度浸入されないようにセキュリティパッチの適用やセキュリティ設定の修正など確実な対策をとらなければいけません。そこで必要になるのが、以下のような対策です。
- 最新のセキュリティパッチの確実な適用
- OS 、Web アプリケーションのセキュリティ設定を見直し、確実に強化
Tripwire Enterpriseと他製品では、大きく次のような違いがあります。
| Tripwire Enterprise |
他製品 |
- セキュリティパッチがすべてのサーバに確実に適用されたことを確認(すべてのWebサーバのライブラリモジュールが同じものであることを証明)
- 必要なセキュリティ設定変更が確実に行われたことを確認(予定外の設定ファイルに変更を加えていないこともあわせて証明)
|
|
Step 5. 復旧
最後のステップが復旧です。悪意のあるプログラムが作動することを防ぐため、追加された不正なファイルを削除し、バックアップから復元(リストア)することでWebサーバを正常な状態に戻します。また、完全に復旧したことを確認してからWebのサービスを再開します。
- 追加されたファイル、フォルダを確実に発見し、削除
- バックアップから、戻すべきファイルだけをリストア
- 汚染されていないバックアップを取得したことを保証
- リストア、不要ファイル削除後のシステムが浸入される前と同じになったことを証明
Tripwire Enterpriseと他製品では、大きく次のような違いがあります。
| Tripwire Enterprise |
他製品 |
- 追加されたファイルの特定
- リストアすべきファイルのリストを提示。または、リストアプログラムを使い、自動リカバリの実施
- 定期的に取得するバックアップ作業と同期してシステムの改ざんチェックを行うことにより取得したバックアップが汚染されていないことを証明する
- システムのリカバリー後、侵害前の状態とシステムレベルで比較することにより、確実な復旧を証明
|
- 追加されたファイルの特定
- 独自のバックアップから自動リストア
|
