人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

HP改ざん事件が報じられていますが、どうやってHPの改ざんは行われるのでしょうか?また防御方法があれば教えてください。

●質問者: tsuka115
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 10/10件

▽最新の回答へ

1 ● mikakane
●50ポイント

ベタな手法としてはFTPの乗っ取りがありますね。

未だ多くのホスティングサーバでは、データ更新にFTPを使用していると思います。
FTPのアクセスはパスワードで管理されているため一見安全に思われますが,
このパスワード実は何の暗号化もかけずにサーバに送信されているんです。
中継地点で盗聴されたら一発でアウト、ですよね。

よく言われる対策法としてはFTPを使用しないこと。
そしてより安全なSFTPやFTPSを使用する事、などが上げられます。

廉価なホスティングサービスでは,FTPしか用意されてない場合が多く,
中々対策も難しいかと思いますが…

サーバ管理が可能なVPSとかになってくるともっと広範にセキュリティ対策を
講じることもかのうになってきますね。


tsuka115さんのコメント
どうもありがとうございます。 ガンブラー騒ぎ以来FTPS使ってます。 公的機関のHPがその程度の対策もしていないんでしょうかね?

mikakaneさんのコメント
官公庁の業務に実際携わったことはありませんが, 以前携わった業務では誰もが知ってる大企業のHP、普通にFTPでした。 別に官公庁だからといってそう変わるわけでも無いですし しょせんはそんなもんです。

2 ● パパトモ
●50ポイント ベストアンサー

FTPやWebDAVなどを使ってHPの更新を行っている場合、アカウント情報を得て、そのアカウント情報を使ってHPを書き換えつ手法があります。ポイントはアカウント情報を得る方法ですが・・・

メールでパスワード等が暗号化されずに使われているのを良く見かけます。またスパイ活動は、セキュリティの甘いオフィイスや制服着用の工場やオフィイス外での食事中の会話等からセキュリティ情報を収集するという古典的な方法です。

この他に、HPが動的なページ、例えばWordPressなどに代表されるような、システムで作成されている場合、そのセキュリティホールを使って改ざんする方法もあります。そうしたシムテムの場合、多くはSQLデータベースエンジンを使っているので、SQLインジェクションという手法を用いて改ざん、あるいは改ざんに必要なアカウント情報を得て改ざんに使用するなどの方法が考えられます。こうしたシステムは、正に、はてなが利用している方法ですので、はてなのサイト管理側では、こうした攻撃に対応しているはずです。

この他に、サーバにご意見箱等が設置されているような場合や、ファイルをアップロードできるようになっているサイトの場合、まずセキュリティホールを作り出すプログラムを送り込み、それを実行させる事が成功すれば、そのプログラムを通じてHPを改ざんします。

他にも方法は沢山あり、列挙するだけで本が書けてしまうと思いますが、主な方法は上記のようなものだと思います。


tsuka115さんのコメント
どうもありがとうございます。 毎度とてもわかりやすい説明ありがとうございます。 公的機関のHPって何度も何度も問題になっていると思うんですが そんな対策もしていないんでしょうか?

パパトモさんのコメント
現在公的機関のサイトは、警視庁サイバー犯罪対策課が特別枠で監視しているはずです。外部からの攻撃は即座に対応しているようです。攻撃は、1つのパターンではないので、過去のパターンは防げても、新しい方法を防ぐのは難しいですね。 回答からは漏れていますが、サーバで稼働中のサービスのバグを突く方法もあり、毎回同じパターンで攻撃されている訳ではないと思います。

パパトモさんのコメント
他にも直接的な攻撃ではなく、外郭の関連システムのうち、管理の甘いサーバから侵入し、それを足がかりにして、本陣へと向かう方法もあります。

パパトモさんのコメント
私は自宅サーバを立てていますが、昔、国内のプロバイダのサーバ経由で攻撃を受けた事があります。パターンと時期から見て、ある国からの攻撃が考えられたのですが、国内サーバからのものでした。おそらく、そのサーバがすでに乗っ取られたのだと思いますが、そのサーバの管理者と連絡を取りましたが拉致があかず、そのプロバイダはその数日後に業務停止を発表していました。

3 ● きゃづみぃ
●50ポイント

有名なのは トロイの木馬。
ウイルスですが、これに感染してしまうと自由にパソコンにアクセスされてしまいます。


http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC_%28%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%29

トロイの木馬は、様々な経路を通じて被害者がダウンロードしたプログラム実行形式のファイル(Windowsであれば.exeにあたる)を実行することから悪意ある動作を開始する場合がほとんどである。また種類にもよるが、大半のトロイの木馬は大きく分けて二つのファイルを必要とする。ひとつはサーバ、そしてもう一方は、クライアントと呼ばれている。被害者が実行するのはサーバのほうである。これを実行することにより、被害者のパソコンは、ファイル名が暗示するように、一種のサーバと化す。一度サーバ化に成功すると、クライアントを使えば、いつでも、どこからでも、攻撃者の好きな時に被害者のパソコンに秘密裏に接続することが可能となる。

トロイの木馬は、その果たす役割からいくつかの種類に分別されているものの、多くのトロイは意外なほどファイルサイズが小さい。ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。また、Windowsに感染するほとんどのトロイはレジストリを被害者の同意を得ずに、秘密裏に改変、削除、追加する。トロイは、被害者のネット接続設定やファイアウォールの設定を変更し、攻撃者任意のポートを開放し、外部からの接続を許可する。これにより攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。


tsuka115さんのコメント
どうもありがとうございます。 いまだに公的機関のHPがその程度の対策もしていないんでしょうかね?

4 ● hissssa
●50ポイント

最近世間を騒がせた「Gumblar」(ガンブラー)と呼ばれるタイプの攻撃は、ウィルスと改ざんの組み合わせ技になっています。この攻撃の特徴は、Webサイトを直接改ざんするのではなく、Webサイトを管理する管理者のPCを狙うという点です。
このウィルスは、まず管理者が自分のPCでWebにアクセスしたときに、FlashPlayer等の脆弱性を突いて感染します。そして、感染したPCのHDD内にある、Webサーバにアップロードされる予定のデータを狙い、その中に新たな感染への仕掛けを埋め込みます。感染に気付かない管理者が自分でWebサーバに改ざん済みのデータをアップロードしてしまうわけです。そしてそのサイトから新たな感染が広がっていくことになります。
もちろん、ウィルスに感染した時点でその管理者のPCは乗っ取られたも同然なので、単なる感染拡大以上の改ざんを行われることや、パスワードまで盗まれてやりたい放題されることも充分にありえます。
対策としては、ウィルス対策をしっかりしておくこととセキュリティパッチを迅速に適用すること、後は作業用・管理用PCとインターネット閲覧用PCを分けること位しかありません。


tsuka115さんのコメント
どうもありがとうございます。 例えば、サーバー本体をレンタルとかじゃなく自分の会社とかに置いて そのサーバーに直接HPのデータをアップロードすれば良いんでしょうか? 当然アップロードするデータは徹底してウイルスとかのチェックは するとしてですが。 それと、毎回思うのですが、いまだに公的機関のHPがその程度の対策も していないんでしょうかね?

5 ● pigmon88
●50ポイント

webだとクロススクリプティングという手法が有名ですね。これはhttpに続くurlに任意のスクリプトを追加すると、コマンドなどが実行できてしまうというものです。
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0

対策法については以下、その他のwebへの攻撃法もくわしく解説されています。
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html


tsuka115さんのコメント
どうもありがとうございます。 昔から何度も聞いたことある単語で、未だに使われている単純というか 古典的な方法なんですね。

1-5件表示/10件
4.前の5件|次5件6.
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ