「改ざん被害を受けやすい特定の業種や規模はない」と解説するのは、改ざん検知サービス「WebS@T」を展開する株式会社ネットワールド(以下、ネットワールド) 取締役 河合氏。
そして、「自分の会社のWebサイトほど見ない傾向があり、自社内で改ざんに気づくことはまれ。サイト訪問者からの感染してしまった・変なページに遷移するなどの問い合わせにより、改ざんが発覚することばかり」と、各企業には耳の痛い現実を突きつけます。
エージェントレスで申し込み当日から監視可能な改ざん検知サービス「WebS@T」について、河合氏および上垣内氏に「WebS@T」の特長や仕組みについてお聞きしました。
マスタURLを定期的にクローリングして改ざんを検知
サイバーセキュリティ.com
まず、「WebS@T(ウェブサット)」の全体像についてお聞かせください。
上垣内氏
「WebS@T(ウェブサット)」は、Web改ざん検知システムです。Webサイトが変更された場合、それが正規の更新によるものなのか、悪意のある改ざんによるものなのかを識別します。そして、万が一、改ざんを検知した場合は、登録メールアドレスへ自動的に通知します。
サイバーセキュリティ.com
改ざんの判定はどのように行っていますか?
上垣内氏
サービス内では「マスタURL」と呼んでいますが、まず、起点となるURLを登録します。登録したあとの流れは次の通りです。
- 「WebS@T」がマスタURLからリンクをたどって、監視対象ファイルリストを作成。
- 収集したファイルは「WebS@T」に監視対象リストとして登録。
※監視対象リストの作成は、1日1回実施。(追加及び削除されたファイルにも対応) - 収集したリストを元にファイルにアクセスし、コンテンツをダウンロード。
- 前回取得したコンテンツと今回取得した新しいコンテンツを比較。
- 取得したコンテンツと前回分と比較した差分を元に、「WebS@T」エンジンが更新・改ざんを判定。
- アラート種別ごとに設定されている管理者のメールアドレス宛にアラートを通知。
河合氏
マスタURLとは、多くの場合、各企業の公式Webサイトのトップページになります。マスタURLからリンクをたどってファイルを収集し、監視対象のリストを作っています。
サイバーセキュリティ.com
公式Webサイトの全ページを監視対象にしたいところですが、それでは予算が厳しそうです。
上垣内氏
「WebS@T」では、例えば100ファイルだけを監視対象とすることもできます。その他、トップページから5ホップ(5クリック)までで行ける範囲を監視対象にするということも可能です。ファイル数の上限とホップ数の上限を設定できるため、どちらかが上限に達するところまでを監視対象とするような設定も可能になっています。
また、監視対象とするファイルの種別も設定できます。例えば、HTMLだけなのか画像も含めるのか、PDFやDOCも監視するのかなど細かい設定が可能です。企業の公式サイトなどでは、画像を含めるとかなりのファイル数になるので、予算に応じて監視対象を調整できる点が「WebS@T」の大きな特長ですね。
サイバーセキュリティ.com
ところで、「WebS@T(ウェブサット)」というサービス名が面白いですね。
河合氏
「WebS@T」というのは造語で、Webはウェブサイトの”Web”。”SAT”は特殊部隊のSAT(Special Assault Team)からきています。
サイバーセキュリティ.com
特殊任務を遂行する「WebS@T」のようなサービスが求められる背景について教えてください。
上垣内氏
「WebS@T」は、2007年から提供しているサービスです。最初は公的機関から開発を請け負ってサービス化したもので、当時はほぼ公的機関専用サービスでした。
それから数年後、一般の企業や個人のWebサイトでも改ざん事件が頻発するようになりました。「WebS@T」への問い合わせが急増したのも、B to Cのサイトにおける改ざん事例が増加してきた頃と重なります。
河合氏
元々、Web改ざんは、技術者が自分の技術を誇示する目的や、政治に関わるメッセージに書き換えることで政治的な目的を達成するために行われていました。よって、改ざんの標的は公的機関が中心になっていました。
近年では、改ざんの目的が変わってきています。以前のように見た目を書き換える改ざんだけではなく、フィッシングサイトに誘導するようコンテンツを書き換え、改ざんされたWebサイトを訪問したユーザーから情報を盗んだり、マルウェアをダウンロードさせるようになりました。改ざん技術も高度化し、改ざんを自動的にチェック・検知できるサービスが求められています。
“怪しい”を何十にも積み重ねた上で不正を判断
サイバーセキュリティ.com
コンテンツの差分を確認しているとのことですが、挿入されたコードが不正かどうかはどう判断しているのでしょうか?
上垣内氏
不正な挿入かの判定をするために、ハッカーが改ざんを行ったときに現れるコンテンツ特徴を検知するアルゴリズムを利用しています。
アルゴリズムの中では検知項目を何十と持っており、それぞれに点数が付いています。点数の積み重ねで、変更箇所に対する点数が閾値を超えたら改ざんと判断します。
サイバーセキュリティ.com
例えばスクリプトが挿入されたという場合、判定はどのように下されますか?
上垣内氏
スクリプトを挿入しただけ・書き込んだだけという場合は、改ざんとは言いません。重要なのは、スクリプトが挿入されたときの状況で、挿入の過程が”怪しい”場合は、不正として加点しています。
特定の検知項目だけを見て不正と判断するのではなく、”怪しいと思われる”を積み重ねて不正の判定を下しています。
サイバーセキュリティ.com
改ざんを判定するエンジンは自社開発だそうですね。
河合氏
はい。エンジンでは、KDDI研究所ネットワークセキュリティグループと神戸大学森井教授が研究・開発したアルゴリズムを応用しています。
アルゴリズムを開発したときに、このような動きの場合は、改ざんとするという不正判定基準も作っています。ただ、改ざん技術も高度化しており、手法も変化しているため、判定基準を常にブラッシュアップすることは欠かせません。
サイバーセキュリティ.com
監視対象のリストを作るとのことですが、ページの追加や削除の場合はどうなるのでしょうか?
上垣内氏
「WebS@T」は、1日1回Webサイトの構造解析(リンクツリーの構築)を実施し、監視対象リストの再構成を行っています。よって、新規ページは新たに監視対象に追加され、削除されたページは監視対象から自動的に外れます。
サイバーセキュリティ.com
過剰な検知(過検知)を防ぐことと、確実に検知するという正確性を確保することのバランスは?
上垣内氏
「WebS@T」の使命は改ざんを必ず検知することですので、不正の判定基準は厳しく設定されています。
疑わしい・グレーである場合は、アラートを通知します。
ただし、チューニングして過検知率を下げ、不要なアラートを減らすことは可能です。例えば、Webサイト内に貼られた外部リンクに関しては、初期設定ではすべて検知特徴として加点されますが、外部リンクを安全なサイトとして登録すれば加点から外すことができます。
サイバーセキュリティ.com
外部リンクが有名組織のドメインの場合、はじめから安全なサイトとして判定しているセキュリティソフトも多いようですが。
上垣内氏
はい。他のセキュリティソフトウェアでは、大手企業や有名組織のドメインが外部リンクとなっていた場合、無条件に安全なサイトとして判定していることが多々あります。
河合氏
本来は、有名だからOK・大手だから安全という判定はおかしいのです。
例えば、上場企業A社の公式サイトに競合の上場企業B社のサイトへのリンクがあったら、不自然ですね。一般上場企業はOKなどとしてしまうと、競合他社のサイトへのリンクが挿入されていても検知されなくなってしまう。重要なのは、本来その企業のWebサイトに差し込まれていると不自然なものを検知することです。
サイバーセキュリティ.com
「WebS@T」からアラートの通知を受け取った場合、ユーザー企業が取るべきアクションについて教えてください。
上垣内氏
はい。「WebS@T」では管理画面を用意しています。アラートをメールで受け取ったら、管理画面にログインしていただきます。
管理画面では、検知結果に加え、このコンテンツの・この箇所で・このような検知特徴を検知したということが分かります。不正な変更だった場合の対応は、お客様企業のセキュリティポリシーによりますが、一旦Webサイトを閉じるなどの対応をしていただくことになります。
IT管理者不在でも運用可能
サイバーセキュリティ.com
「WebS@T」のサポートについて教えてください。
上垣内氏
月額使用料内での利用では、アラートの確認とその後の対応はお客様で決定していただくことになります。
ただし、有償サービスになりますが、アラートの確認を代行する「代行監視」というサービスを展開しています。「WebS@T」からアラートが通知されると、ネットワールドの運用センターがアラート内容をチェックします。緊急の対応が必要な場合には、ご指定の緊急連絡先へ通知します。
代行監視サービスは、24時間365日体制で対応するサービスであるため、夜中であっても緊急であればご連絡をします。代行監視サービスを利用した場合は、お客様にてメール通知すら見る必要はありません。そのため特にIT管理者が不在の企業やIT担当者のリソースを割きたくない企業へおすすめできます。
サイバーセキュリティ.com
改ざん検知のサービスでは、Webサーバーにインストールするタイプもあるようですが、「WebS@T」がインターネットを介して遠隔監視する仕組みなのはなぜですか?
上垣内氏
はい。「WebS@T」はお客様環境にインストールする必要がないエージェントレスのサービスです。インターネット越しにアクセスしてコンテンツを取得するため、監視対象のサイトが社内のサーバー上にあろうが、クラウド上に乗っていようが関係なく、監視できます。
エージェントレス型のサービスには、インターネット上で見えるサイトなら何でも監視できるという強みがあります。これをインストール型のサービスにしてしまうと、監視対象のサイトの稼働環境を意識せざるを得なくなります。お客様企業の環境を意識した設定をする必要がないため、「WebS@T」は、最短で登録したその日から監視がスタートできます。
サイバーセキュリティ.com
「WebS@T」の導入までの流れを教えてください。
上垣内氏
まず、ネットワールドに問い合わせていただくのが、スムーズかと思います。
次に、お見積りをするために、一旦ネットワールドでお客様のWebサイトをクロールしてどのくらいファイルがあるのかを確認します。「うちのサイトは何ページある」とご報告をいただくことも多いですが、ページ数とURL数(ファイル数)は異なりますので、当社でのクロールは必ず行います。
そして、コスト見積もりに合意となれば、申込書に記入していただきます。登録作業が完了したら、管理画面へのIDとパスワードを発行して、手続き完了です。申し込み当日から監視が可能です。
サイバーセキュリティ.com
「WebS@T(ウェブサット)」を特におすすめしたいお客様はどのような方ですか?
上垣内氏
近年では、B to Cのサイトに加え、B to Bのサイトも改ざん被害が増えていますので、すべてのお客様がサービス提供先と認識しています。
河合氏
Webサイトを改ざんされた企業は、確かに被害者です。ただ、Webサイトにアクセスした訪問者にとっては、その企業は加害者になってしまいます。Webサイトを作った側にも責任が伴い、作りっぱなしでOKという時代ではなくなっています。
Webサイトを改ざんから守り、安全に運用したい企業には「WebS@T」導入していただき、安全に運用していることをアピールして欲しいですね。