インシデント対応の舞台裏シリーズ：Webサイト改ざん編

もしもインシデントが発生したら、どのような対応が必要でしょうか？

「まず何をすべきか？」、「誰に連絡すべきか？」、「被害を最小限に抑えるには？」と、突発的な状況で冷静な判断が求められますが、実際に直面すると戸惑うことも少なくありません。天災と同じように、インシデント対応の具体的な行動を事前にイメージすることは意外に難しいものです。

本シリーズでは、実際に起こりうるインシデントをモデルケースとして取り上げ、「どのような対応が求められ、どのように解決へ導くのか」を舞台裏まで詳しく解説します。現場で役立つ実践的な知識を、具体的なシナリオとともにお届けしますので、ご参考になれば幸いです。

連載第2回のテーマは、Webサイト改ざんです。Webサイト改ざんとは、悪意のある第三者がWebサイトに不正にアクセスし、内容を変更したり、悪意のあるコードを埋め込んだりする行為を指します。これにより、訪問者の個人情報が盗まれたり、マルウェアが配布されたりするリスクがあります。今回は不動産事業を運営する企業をモデルケースに、インシデント対応の全体像として、検知と分析、封じ込め、根絶、復旧、事件後の対応までの流れを解説します。

モデル企業の概要とWebサイト運用体制

D社は中堅企業（従業員数：約1,000名、年間売上高：約1,000億円）で不動産事業を展開しており、日々多くの顧客が訪れる不動産検索サイトを運営しています。サイトの運営には、IT部門、開発部門、カスタマーサポート部門、経営企画、リスク管理部門と連携し、セキュリティ対策を講じていました。しかし、今回のインシデントを通じて、さらなる強化の必要性を認識しました。

インシデント発生の経緯

D社の不動産検索サイトは、日々の運用で物件情報を更新し、顧客への通知をスムーズに行うことで、サービスの利便性を高めていました。しかし、ある日、思いもよらぬ事態が発生しました。

Eさんは直感的に異変を感じ、すぐにサイトを確認しました。恐る恐る画面を確認すると、確かに別のサイトに転送されてしまいます。「......、これはマズい。」

早急に調査を進めたところ、見覚えのない不審なファイルが大量にアップロードされていることを発見しました。「こんなファイル、一体誰が？」ファイル名を確認しても、通常の運用とは無関係のものばかりでした。動揺しつつも、Eさんはすぐに、経営企画・リスク管理部門に報告を入れました。

Eさんは、経営企画・リスク管理部門と連携し、サイトの安全性を確保するために一時的にサービスを停止しました。その後、緊急会議を招集し、攻撃の影響範囲や対応方針について協議しました。被害の拡大防止と迅速な復旧が求められることから、社内対応のリソースだけでは不十分と判断し、外部のセキュリティ専門業者との連携が不可欠であると結論づけました。

これを受け、ラックのサイバー救急センターに問い合わせ、調査を依頼しました。事態は深刻で、一刻の猶予も許されません。

外部専門家による調査と対応

サイバー救急センターによるヒアリングの結果、D社のWebシステムにはセキュリティ上の懸念が複数確認されました。

具体的には、リリース以降、脆弱性管理（脆弱性診断を含む）が十分に行われておらず、さらにCMSとして利用されているWordPressの管理コンソールへのアクセス制限が不十分であったことが挙げられます。サイバー救急センターは、「このままでは、さらなる攻撃を受ける可能性があります。また、停止したサイトには"Sorry Page"の掲載も急ぎましょう。」と、危機管理に関わる助言を行いました。

その後、D社が提供した「ディスクのイメージ」、「Webサーバのログ」、「データベースのログ」で詳細な調査が進み、サイバー救急センターの担当者から、D社のIT部門Eさんに速報が入りました。

「見覚えのない不審なファイル群はWebShellだったのか。データベースへの影響はありますか？」とEさんは拳を握りしめながら聞きました。

「問題はそこです。ログを解析したところ、攻撃者がデータベースにアクセスした痕跡がありました。特定のクエリが実行されている形跡もあります。」

「つまり、顧客情報が漏えいしている可能性が高いのですか......？」

「はい。すでにデータが抜き取られたと考えるべきでしょう。」

D社の会議室が静まり返りました。張り詰めた空気の中、リスク管理部門の担当者が口を開きます。

「これは個人情報保護委員会への報告が必要ですね？」

「その通りです。」サイバー救急センターの担当者は続けます。「まず、個人情報保護委員会への報告を速やかに行うこと。そして、影響を受けた可能性のある顧客への通知準備を進めてください。」

Eさんは即座にメモを取り、各部門への指示を考えました。「承知しました。すぐに対応を進めます。」と返答しました。

「D社の規模を考えると、今後の信頼回復も重要です。今回の件を教訓に、セキュリティ監視体制の強化も検討してください。」

D社は、サイバー救急センターのアドバイスに基づき、影響範囲の迅速な特定、個人情報漏えい対象者への通知、個人情報保護委員会への報告、閉鎖したサイトの"Sorry Page"の掲載を実施でき、さらにスムーズに復旧できました。

専門家（サイバー救急センター）からのアドバイスまとめ

• 個人情報保護委員会への報告
• 漏えいした可能性のある個人情報の対象者への通知
• Webサイトへの適切な掲載内容の案内（閉鎖中のサイトには"Sorry Page"を掲載するなど）

再発防止に向けた対策

今回のインシデントを受け、サイバー救急センターは再発防止策の検討を提案しました。

• 1.WordPress（プラグイン含む）の更新と脆弱性対策の徹底
  • -最新バージョンへの更新
  • -不要なプラグイン・テーマの削除
  • -強化されたアクセス制御の導入
• 2.Webサイトにおける各種セキュリティ対策の強化
  • -WAF（Web Application Firewall）の導入
  • -24時間体制の監視システムの構築
  • -定期的なセキュリティ監査の計画・実施
• 3.インシデント対応フローの見直し
  • -緊急時の対応プロセスの策定
  • -各部門の役割と責任の明確化
  • -定期的なインシデント対応訓練の実施
• 4.開発プロセス、運用の見直し
  • -セキュリティバイデザインの導入
  • -脆弱性情報の収集

インシデント対応からの学び

Webサイト改ざんのインシデント対応の舞台裏は、いかがでしたでしょうか？

D社は、サイバー救急センターのアドバイス、再発防止策に基づき、必要な対応を進めた結果、当初の想定よりも早期にWebサイトを復旧でき、売上の減少を最小化できました。被害を最小限に抑え、再発防止策を講じることで、今後のセキュリティ強化にもつながります。

今回の学びは以下です。

• 定期的なシステムの更新と監視が不可欠です。
• 早期の発見と適切な対応が被害拡大を防ぐ鍵となります。
• 外部専門家との連携が迅速な対応につながります。
• 実際の対応時には迅速な判断が求められるため、信頼できる相談先を準備しておくことが重要です。

Webサイトを運営する企業は、「予防」と「早期検知」の仕組みを整え、専門業者のインシデント対応サービスを活用し、より強固なセキュリティ体制を築くことが求められます。