自社サイトのハッキングをネットベースの整合性監視でチェックする：サイトの改ざんを未然に防ぐ

自社サイトのトップページが改変されたりユーザーがフィッシングサイトに誘導されるといったハッキングを検出するには、具体的にどうすればいいのだろうか。

≫ 2009年10月05日 07時30分公開

[David Davidson，TechTarget]

　「ファイルベースの整合性監視（FIM）」は、社内のサーバに置かれた重要なファイルやバイナリに改変が加えられていないか監視することにより、システムの整合性を保証するというコンセプトだ。FIMを実装すれば、構成ファイル、バイナリ、カーネルなどが修正された場合に、その行為を検出し、それが承認されたものであるかどうかを判定できる。

　FIMはPCI DSS（クレジットカードデータのセキュリティ規格）やHIPAA（医療保険の相互運用性と説明責任に関する法律）などでは一般的なコンプライアンス要件となっている。しかし、ネットワークベースの整合性監視が要件とされているケースはあまり見かけない。これは、FIMと同じコンセプトを、WhoisやDNSなどの情報にオンラインで適用するというものだ。Whois情報が変更される、DNSが改ざんされてユーザーがフィッシングサイトに誘導される、あるいは自社のWebサーバがハッキングされてトップページが改変されるといった出来事を検出するにはどうすればいいのだろうか。

　Webサイトの可用性を監視するツールは存在するが、サイトの整合性をチェックするためのツールは少ない。Webサイト、Webアプリケーション、DNS、Whoisといった企業のネットワークのプレゼンス（存在形態）が改変されたかどうかを確実に検出するための手段も必要ではないだろうか。

　サーバ上で動作するFIM製品の多くは、Webサイトの改変を検出できる。しかし、DNSのリダイレクションやレジストラ（ドメイン名登録業者）を通じたWhoisの修正といった小細工による攻撃の場合はFIMでは検出できず、ユーザーが悪質なサイトに誘導される可能性がある。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}