情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年7月20日号
***************************************************************
Webサーバのハッキング webshellの脅威
***************************************************************
webshellとは、Web上で動作するシェルプログラムの総称で、PHP/Perl/ASPなど様々な⾔語で作成され、
Webサーバのファイルシステム等へリモートアクセスを許可するプログラムである。
しかしハッカーはWebサーバへの侵入に成功した際、当該サーバに自由に出入りできるようにするため「アクセス
権の獲得」や「アクセス権の維持」を目的として設置するバックドアとしてwebshellを利用する。つまりはWeb
サーバの合鍵を作られたようなものである。
ハッカーにも得手不得手があり、一部のハッカー達は、Webサイトのみをターゲットとする。
多くのサイトは管理がずさんな為、ハッカーは簡単にWebサイトに侵入して権限を獲得することができる。
そしてWebサイトに保存されている個人情報や機密情報は容易に流出することになる。
つまりハッカーにより設置されたwebshellは極めて危険であるという事だ。
webshellは、Webサイトのハッキングによく使用される手法の一つである。
webshellを使用することでハッカーはファイルのアップロードを可能にし、Webサイトへのマルウェアリンクを追加
したり、ファイルを変更するなど自由にサーバ操作が可能となり、そこに情報があればその情報を搾取することが
できる。
webshellの価値はそのWebサイトの価値と正比例する。
個人情報や機密情報が豊富なWebサイトは、ハッカーにとってお金に代わる様々な情報をそのWebサーバから
搾取できるからである。しかし個人情報や機密情報がなくても悪性プログラムを配布するための踏み台サーバと
して利用することもできる。
最も危険なwebshellは、ユーザのクレジットカード情報や銀行口座情報などが含まれているWebサイトに埋め
込まれたwebshellである。例えばオンラインショッピングモール、金融サイトなどである。
このようなサイトにwebshellが設置されていれば、クレジットカード情報や銀行口座情報などは簡単に搾取でき
るからだ。
ではwebshellの存在を確認して、自社で設置したものでなければ削除すればよいのだが、最近のwebshellは、
ソースコードが難読化されたり自身を隠ぺいするなど、アンチウイルス等のセキュリティ製品での検出は困難となって
きている。
つまりハッカーは、簡単には分からないような手法でwebshellを設置しているのである。
中国ブラックマーケットでは、【webshell接続情報】として[URL/IPアドレス/パスワード]がハッカー達に公開・共有
されていて、その数は3万件であった。
これを使えばリストにあるサーバに自由に出入りし、好きなことができてしまうという事だ。
そこで、webshellを検出するツール*を使って日本のWebサイトに存在するwebshellを確認してみたところ、
合計672個のwebshellが確認された。
その中には、【有名なお菓子メーカー通販サイト】【人気アイドルグループサイト】【旅行検索サイト】【レンタル衣装
サイト】【転職サイト】【法律事務所】【有名国立大学サイト】などがあった。
人気サイトはアクセス数も多く利用価値が高いのである。
通販サイトはクレジット決済があるのでクレジットカード情報は搾取され、アイドルのサイトはアクセス数が多いので
悪性プログラム配布サーバにすれば感染拡大が見込まれる。
旅行、レンタル衣装、転職などは個人情報が沢山あり、法律事務所は機密情報があるだろう。
気になったのが大学のサイトである。「えっ・・・ここが?」と思うような大学の某学部内の研究室が軒並みやられて
いる。ここには重要な情報が多いだろうと思うが、残念でならない。
大学も1校だけではない、複数の大学がやられている。
更に悪性プログラムの配信を検出するツール*を使い日本のサイトを調べてみると、毎月約2000個のURLから
悪性プログラムの配信が確認された。
今年に入り日本のWebサーバ1万2千以上のURLから悪性プログラムが配信されているのである。
悪性プログラムの配信サーバはwebshellによりハッカーに操作され配信用として設定されたものでいわゆる踏み
台サーバとなってしまっていて、既にwebshellは削除されていることもある。
悪性プログラムの配信サーバになると、サイト自体には大きな影響は出なくても、当該Webサーバを経由される
ことで一転して加害者となってしまう事になる。
そのサイトを見たPCに悪性プログラムを感染させたり、偽装サイトに誘導されたりすることで被害が拡大する。
閲覧した人が取引先であれば会社の信用問題にも発展する可能性もある。
Webサーバは、インターネット時代の昨今ではホームページなどを代表するように会社の顔であり、情報発信
手段として現代の社会では必要不可欠なものであるが、高額な構築金額を払いデザインや実用性ばかりを
重視して、セキュリティ面を考えずにいると、後でひどいしっぺ返しを食らう事になる。
大切なWebサーバ、もう一度セキュリティ上の安全面をチェックしなければならない。
それでもハッカー達は攻撃してくるだろう。その時にどうするかも考えておく必要がある。
*webshell/悪性プログラムの配信検出ツールはSIPSサービスのオリジナルツールです。
---------------------------------------------------------------------------------
<参考URL>
静岡電鉄:2020/6/29
【静鉄電車ホームページ】ホームページ改ざんに関するご報告とお詫び
https://www.shizutetsu.co.jp/news20200629.html
ScanNetSecurity:2020/6/22
不正アクセスで設定書き換え、別サイトへ転送(アールティ)
https://scan.netsecurity.ne.jp/article/2020/06/22/44229.html
ScanNetSecurity:2020/6/1
プログラム改ざん、申し込み者情報は攻撃者指定のファイルへ書き込み(経団連事業サービス)
https://scan.netsecurity.ne.jp/article/2020/06/01/44159.html
日経XTECH:2016/10/31
最新サイバー攻撃の恐るべき手口
https://xtech.nikkei.com/it/atcl/column/16/102500243/102500001/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved