Web改ざん検知とは | サービス7製品比較・種類・検知方法

---

サイバー攻撃による被害の中でも、Webサイト改ざんの被害は後を絶ちません。Webサイト改ざんが始まった当初は、Web画面の見た目を変えるものでした。

しかし近年は見た目を変えないため、閲覧者が気づかずにマルウェアをダウンロードすることが頻繁に発生します。

こうなってしまうと、ビジネス的なインパクトは避けられません。そのため、Webサイトの改ざんをいち早く検知し被害を最小限に抑えることは、Webサイトを運営する上で欠かせなくなっています。

まず、改ざん検知とはどういったことなのでしょうか。実際の仕組みは複雑ですが、ここでは一般的なことをわかりやすく解説していきたいと思います。

改ざん検知とは

改ざん検知とは、監視対象となるWebサーバのコンテンツが改ざんされていないかを常時監視し、改ざんされた場合はそれを検知することです。特に多くのコンテンツを扱うWebサイトでは、目視による改ざん監視は困難です。したがって、自動での監視が必要となります。

では、自動での監視を実現するにはどういった方法があるのでしょうか？次に、改ざんを常時監視する方法を説明します。

Web改ざんを監視する方法としては大きく２つがあります。1つ目はWebサーバのOS上での監視、2つ目は別サーバからのリモートでの監視です。それぞれ、メリット・デメリットがあるため、Webサーバをどのように運用しているかにより選択する必要があります。

WebサーバのOS上での監視

• リアルタイム検出ができる
• Webサーバのリソースを使うため、サーバの負荷が大きい
• 共有型Webサーバには使えない
• WebサーバのOSアップデートにより、監視システムが影響を受けるかもしれない

リモートでの監視

• WebサーバのOS上で監視するよりリアルタイム検出の点で劣る
• Webサーバのリソースを使わないため、サーバの負荷が小さい
• 共有型Webサーバでも使える
• WebサーバのOSアップデートによる影響を受けない

---

以上のことから、WebサーバのOS上での監視は、自社で物理サーバを運用している場合や、レンタルサーバでも専用サーバや仮想専用サーバ（VPS）で運用している場合に適します。

一方、リモートでの監視の場合は、WebサーバのOS上での監視にあるような制約がないため、共有レンタルサーバでも適用ができます。さらに、リモート監視タイプの一つとしてクラウド型サービスとして展開しているものがあります。この場合は、ハードウェアやソフトウェアの購入が不要で、サービス利用料を払うだけでよいので、資産管理が不要となるというメリットがあります。

ここまで、改ざんを監視する方法についてお話しました。では、監視する中で、どうやって改ざんされたと検知するのでしょうか？ ここからは代表的な改ざん認識の手法を紹介します。

改ざん検知手法

パターンマッチ型（ソース解析型）

過去の事例にもとづいて不正ファイルパターンを予め登録しておき、それとマッチすれば改ざんとみなします。このため、未知の攻撃には対応できません。また、画像ファイルや未対応のファイルフォーマットは監視対象外となります。

振舞い分析型

仮想PCから監視対象WEBサーバへブラウジングし、不正な振舞いがあればそれを検知します。不正な振舞いがあることは検知できますが、改ざんされたファイルの特定はできません。

ハッシュリスト比較型

監視対象Webサーバ上のファイルを定期的にハッシュ計算し、前回作成したハッシュリストと比較します。定期監視の間にファイル更新された場合、ハッシュ値の違いを検出することにより改ざんされたファイルを特定できます。この弱点としては、改ざんと意図した更新とを区別するために運用で判断する必要があることです。

原本比較型

原本ファイルを監視サーバに保管し、定期的に監視対象Webサーバ上のファイルと差分比較します。この結果、差分があったときに改ざんと判定します。意図的に更新する場合は監視サーバ上の原本ファイルも同時に更新することにより、改ざんと意図的な更新とを区別することができます。

参照元
アットシグナル株式会社
記事：「改ざん検知」とは何でしょうか？
https://www.site-patrol.biz/whats/post.html

---

さらに、上のタイプ以外にも製品によっては独自の手法を使ったものもあります。では、実際にはどのようなサービスが提供されているのでしょうか？次に、いくつか具体的に製品を紹介していきます。

改ざん検知サービス紹介

サイトパトロールクラウド - アットシグナル株式会社

画像出典：サイトパトロールクラウド公式サイト

• Webサーバーを定期的に監視
• 更新と改ざんを判別して自動修復
• セキュリティ対策を安価に実現

サイトパトロールクラウドは、WEBサイトの改ざんを検出して自動的に修正するリモート監視サービスです。監視対象WEBサーバーに定期的にHTTPやFTP/sFTPでアクセスし、HTMLやCGIなどのファイルが変更されているかどうかを監視。ファイルの変更なのか改ざんなのかを分析し、改ざんを検知した場合には自動的に修復してくれます。WWWサーバーの種類や形態を選ばないので、高価なサーバープランでしか利用できなかったセキュリティ対策が安価な共用プランでも実現可能です。

DIT Security

• 改ざんの瞬間を検知・瞬間復旧
• サーバーへの負荷が最小限
• GUI（グラフィカルユーザインターフェース）による簡単設定・操作

DIT Securityは、改ざん攻撃を瞬時に検知・復旧するウイルス対策・不正アクセス対策システムです。ファイルが非公開・公開であるかに関わらず、改ざんが発生したと同時に検知し、0.1秒で復旧が実行されます。OSのイベントを常時監視し、改ざんイベントが発生と同時にシステムが作動する仕組みとなるため、サーバーへの負荷は改ざんが発生したときのみに抑えられるという点も魅力の一つです。また、監視設定作業は、エクスプローラ上の一覧画面で監視したい箇所にチェックするだけで簡単に完了します。

SiteLock（サイトロック）

• Webサイトの監視と診断、復旧ソフト
• 800万を超える導入実績
• クラウド型で、低料金で即日開始可能

SiteLock(サイトロック)は、診断だけでなく、Webサイトに潜むマルウェアなどの脅威を自動で駆除し、復旧作業も行うことができるソフトウェアです。マルウェアに感染する危険性がないWebサイトには、サイトへの訪問者に見えるように安全シールが自動生成されてサイトに貼られます。診断頻度は毎日から四半期毎など自由に選べ、目的別に3つの診断メニューがあります。脆弱性が高いWordPressにも標準対応しています。

Tripwire（トリップワイヤー）

• 変更検知のデファクトスタンダード
• クレジットカード会社の情報セキュリティ基準にも使用
• リアルタイム検知により、素早い対処が可能

改ざん検知といえば、Tripwireは言わずと知れたソフトウェアです。元々はOSS（Open Source Software）として開発され、その後、商用ソフトウェアが開発、販売されて、現在のTripwire Enterpriseに至ります。20年以上の歴史があるため、事実上の業界標準（デファクトスタンダード）といえる存在です。また、9,000社以上の導入実績もあり、質実ともに改ざん検知を代表するソフトウェアになっています。リアルタイム検知には定評があり、問題が発生したらすぐに対処できます。

GRED（グレッド）

• クラウド型サービス
• 初期費用0円で導入可能
• JavaScriptの改ざんに対応する独自エンジン

GREDはクラウド型サービスのため、リモート監視タイプとなります。初期費用が0円で、無料トライアルもあるので、初期費用を抑えつつ、導入可能か実際に動かして判断ができます。さらに、JavaScriptに対する改ざんに対応する独自の「スクリプト変化検知エンジン」を実装している点が特徴です。クラウド型サービスの導入に制約の無い環境で運用している場合は、選択肢の一つとなります。

isAdmin（イズアドミン）

• サーバからのリモート監視
• HTTPタイプではリンク切れを検出するWeb稼働監視も実装
• FTPタイプでは自動復旧に対応

isAdminは、別サーバを用意し、そこにインストールしてリモート監視するタイプとなります。実際の監視運用の状況に合わせて、HTTPタイプ、FTPタイプ、Fileタイプの3タイプから選択ができます。

別サーバを用意しないといけないので、遊休サーバが無い場合は初期費用がある程度発生することになります。しかし、運用している環境がクラウド型サービスを利用できないという制約がある場合は、候補の一つとなりえます。

WebARGUS（ウェブアルゴス）

• OSのイベントを直接監視
• 改ざん発生から1秒以内で正常な状態に自動復旧
• ゼロデイ攻撃による改ざんも検知・復旧可能

WebARGUSの最大の特徴は、OSはファイル・ディレクトリが更新されるとイベントを発生しますが、そのイベントを直接監視しているため、ほぼリアルタイムでの検知が可能なことです。さらに、ファイル・ディレクトリの更新自体を監視しているので、ゼロデイ攻撃による改ざんという点で、パターンマッチ型よりも優位といえます。

監視対象のWebサーバに監視用エージェントをインストールするタイプとなります。このことから、多くのファイルがあると、エージェントが使用するメモリ量が増大し、Webサーバのリソースを圧迫する可能性があります。

これを回避するため、使用メモリ量を確実に見積もり、それに見合う十分なメモリを搭載する必要があります。また、ファイル・ディレクトリ改ざんを検知するタイプはSQLインジェクションといったデータベース内容を書き換える改ざんには効果がありません。したがって、WAFを併せて導入することにより、この欠点を回避する必要があります。

Webサイト改ざんの危険はすぐそばにある

以上、Web改ざんとは何か、改ざん検知についてと、実際に提供されているサービスについて紹介しました。

すでに判明している脆弱性については、セキュリティパッチの適用で回避ができるので、まずはそれを確実に実施することが最優先で必要です。その上で、未知の脆弱性に対応するために改ざん検知サービスを利用することにより、セキュリティ的に強固なWebサイトを運営できるようになります。

近年、クラウド型の改ざん検知サービスが増えてきました。クラウド型サービスは、初期費用が抑えられるだけでなく、サービス利用料を支払うということで、経理上経費の扱いとなります。

サーバやソフトウェアの購入が発生しないので、固定資産管理が発生しないという点で優位です。もし、クラウド型サービスの利用に制約のない環境で運用しているのであれば、クラウド型の改ざん検知サービスは最優先で候補にあげるべきでしょう。

ボクシルとは

ボクシルでは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのか分からない。」
「同じようなサービスがあり、どのサービスが優れているのか分からない。」

そんな悩みを解消するのがボクシルです。

また、マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得することができます！また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。