Web改ざん対策と改ざんされた場合の自動復旧について

皆さま、こんにちは。吉政創成の吉政でございます。
標記のタイトルでネクスト・イット様のメルマガにコラムを寄稿しましたので、ご紹介します。

以下、コラムです。

【第十回】Web改ざんの被害例

今回のメルマガはWeb改ざん対策特集と言うことで、Web改ざんについての判例も紹介してみたいと思います。

メルマガの冒頭でご紹介しましたが、2009年12月以降、Webページが改ざんされたことを発表している主な企業は、ラジオ関西、ホンダ、JR東日本、信越放送、ローソン、ハウス食品、モロゾフ、京王グループなどで、いずれも、Gumblarの亜種によるものと思われるWeb ページの改ざんがあったようです。以下では、別件ではありますが、Web改ざんの被害イメージが分かる判例をご紹介します。

◆　2010年3月
===================================================================
三菱電機のサイトに不正アクセスがあり、
顧客情報など約1万1000件が流出した可能性。
===================================================================
対象：三菱電機のWebサイト「DIAX-NET」と「MELLASER- NET」
対象サイトへ不正アクセスがあり、会員登録していた顧客情報などが流出した
可能性があることがわかったそうです。
想定被害数：1万1384件の個人情報が漏洩。
====================================================================

個人情報が漏洩した場合、過去の判例を見ても2-3万円/人と言うことも珍しくなく、仮に2万円で計算しても、約2億3千万円の被害額をイメージできます。さらに、その信用や株価などの下落を考えると、相当大きなダメージになることは容易に想像がつきます。

◆　2010年1月
===================================================================
検索サイト「Mooter」が改ざん、検索窓設置サイトにも影響。
===================================================================
対象：検索ウェブサイト「Mooter」
被害状況：「Adobe」関連の未修正の脆弱性を攻撃する不正なJavaScriptが
埋め込まれたそうです。同社の「検索窓」を設置しているWeb運営者、およ
び設置された検索窓で検索を実施したWeb閲覧者にウイルス感染のおそれが
あるそうです。
====================================================================

Web検索エンジンのような競合が多いWebサービスでは顧客の離脱も速いと思います。その状況の中でこのような改ざん事件は非常に大きな損害になると思います。

そのシステム責任者が会社の中でどのような処罰を受けたか分かりませんが、表ざたになってしまえば、何らかの処罰があってもおかしくはないと思います。情報システム責任者としてはWeb改ざん防止対策を施すと同時に万が一の際に被害を最小限にとどめる「WebALARM」のような仕組みを導入しておくことが重要であると改めて思いました。

※3月16日に「WebALARM」のセミナーをやります。（無料：東京開催）ご興味がある方は、是非ご参加ください。
　http://nextit.jp/seminar/WA0316.html

※「WebALARM」については以下のサイトをご覧ください。
　http://nextit.jp/product/webalarm/index.html

※メルマガの本文をご覧になりたい方は以下をご覧ください。
nit19.pdfをダウンロード