ソフィア総合研究所株式会社 セキュア・ソリューション部 http://www.sps.jp.net ◆ サンプルのストーリー Gumblar攻撃の被害にあってしまった、A社様。 コーポレートサイトが改ざんされ、お客様を「悪意のあるURL」にアクセスさせてしまいました。情報システム部門は再発防止のため、徹底した改ざん対策を模索しています。 ◆ ブログ記事 SE業務 – ソリューションの提案 http://www.sps.jp.net/ssslog/proposal-20130709/

1. CONFIDENTIAL
～知的創造で想像を実現する～
2013年7月16日(火)
Sophia Research Institute,Ltd. Confidential
貴社Webサイト改ざん対策のご提案
A社樣
Sample

2. CONFIDENTIAL
Sophia Research Institute,Ltd. Confidential 1
Page
１．対応履歴と課題 2
1-1. 対応履歴 3
1-2. 課題の抽出 4
２．改ざん対策案 5
2-1. Webサーバにおける改ざん対策案 6
2-2. WAFによる改ざん対策（入口対策・出口対策） 7
2-3. 改ざん検知 gred セキュリティサービス 8
2-4. Sophia Protective Shield（SPS） + gred のご提案 9
３．お客様のメリット 10
3-1. 防御開始までの時間的なメリット 11
3-2. コストのメリット 12
3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」 13
会社情報 14
改訂履歴
改訂日 改訂者 内容
2013/7/9 香取 初版作成 ～ ブログで公開
2013/7/10 香取 P.6 NoMetaプラグインの記述を追加
目次

3. CONFIDENTIAL
Sophia Research Institute,Ltd. Confidential 2
１．対応履歴と課題
Gumblar攻撃による改ざん被害の発生から対策
完了までの履歴を元に、課題を抽出します。

4. CONFIDENTIAL
1-1. 対応履歴
Sophia Research Institute,Ltd. Confidential 3
【ご注意】これはサンプルです。内容は架空のものです。
2013年5月
13日 10:30 Webサイトを訪れたお客様からの指摘により、改ざんが発覚。
トップページにアクセスすると、ウイルス対策ソフトの「悪意のあるURLに関するアラート」が表示される。
Web制作会社に連絡。担当が不在
13:00 情シス（担当 ○○樣）による調査開始。悪意のあるURLに関するアラートを確認
Gumblar攻撃と思われるため、まず WebサーバのFTPサービスを停止
Webサイトおよび、データベース、ログをバックアップ（保全）
14:00 ［Web制作会社］ Webサイトをメンテナンスページに差し替え
その他のページ、データベースの内容を、公開サーバから全て削除
隔離したテスト機にバックアップでWebサイトを再現。全ページに手動で悪意のあるURLのアラート確認作業開始
16:30 FTPのログから、不正利用されたアカウントと改ざん日時を特定（担当 □□樣）
普段はFTPを使わず、WordPressの管理ページから更新をしている。
ログには5月12日 02:00 辺りから3回のFTPアクセスが記録されていた。
（その前は2013年2月のリニューアル時）
情シス（担当 ○○樣）から、該当のFTPアカウントを知っている関係者（社内，Web制作会社）に、
Gumblar攻撃へのクライアント側の対応を指示
⇒ OS，アプリケーションののアップデート / ウイルスチェックと駆除 / FTPクライアントのアンインストール
22:00 全ての関係者から、クライアント側の対応完了の連絡
テスト機でのアラート確認作業を終了
14日 13:30 「弊社ウェブページ改ざんに関するお知らせ」の文面作成完了
2013年5月10日時点のバックアップで、テスト機にWebサイトを再現。チェック開始。
20:30 テスト機でのチェック終了。5月10日時点のバックアップには、悪意のあるURLに関するアラートなし。
15日 09:00 公開Webサーバの復旧開始。5月10日時点のバックアップの書き戻し。
16:00 バックアップの書き戻しと、公開サーバ上でのテストの完了
「弊社ウェブページ改ざんに関するお知らせ」 ページを追加して、公開。
営業担当（☆☆樣）から、関係各所に復旧のお知らせと、お詫びのメール／電話連絡（19:00 全て終了）

5. CONFIDENTIAL
1-2. 課題の抽出
Sophia Research Institute,Ltd. Confidential 4
分類 事実 課題 課題の分類
事前 Gumblar 攻撃により、Webページを改ざんさ
れた。
改ざんの防止 Webサーバ関連
お客様の指摘があるまで、改ざんに気付か
なかった。
改ざんの検知
• 検知した際、管理者にアラートメールを送信
Webサーバ関連
管理PCのウイルス感染により、FTPパスワー
ドが漏えいした。
管理PCの情報漏えい対策
• 管理PCからの情報漏えい防止のためのルールを策定
ルール / マニュアル
FTPアカウントは共通のものを利用していた。
どの管理者PCが原因となったか不明
Webサイト管理者のアカウント管理ルールを策定 ルール / マニュアル
対策時 改ざんからメンテナンスページに切り替える
までの約12時間、Webサイトは悪意のある
URLへの導線になっていた。
改ざん発生時 / 検知時
• 悪意のあるURLに、お客様をアクセスさせない仕組みが必要
Webサーバ関連
どのページが、いつ、どの様に改ざんされた
のか、確認が困難
改ざん検知時
• 改ざん内容の詳細レポートが必要
Webサーバ関連
バックアップが無かったら、Webサイトを復
旧できなかった。
• バックアップルールの策定
• 書き戻しのマニュアル化
ルール / マニュアル
改ざん発覚から復旧まで、3日かかっている。
対応の迅速化
• マニュアル化
ルール / マニュアル
事後 FTPサービスを止めたが、Webサイト自体は
改ざん前（5月10日時点）の状態
最終的な課題（目的）
課題を全て解決する「改ざん対策の計画」を立て、実施
次頁以降に述べる項目
事前（改ざん前）・対策時の事実（前頁の対応履歴）から、課題を抽出します。

6. CONFIDENTIAL
Sophia Research Institute,Ltd. Confidential 5
２．改ざん対策案
抽出した課題から、改ざん対策案を組み立てます。
Gumblar攻撃への対策は多岐に渡りますが、本書
では「Webサーバにおける対策」に焦点を当ててい
ます。

7. CONFIDENTIAL
2-1. Webサーバにおける改ざん対策案
Sophia Research Institute,Ltd. Confidential 6
Webサーバ
OS / ミドルウェア アップデート 運用も確立
運用
FTPを廃止 FTPを使用しない運用を確立
安全性の高い接続方式への変更 SCP/SFTP/FTPS
管理者接続のポート変更
SCP（SSH）/SFTP/FTP など
外部から接続する管理ツールは、デフォルトのポートで使用しない
ネットワーク 不正侵入防止
Firewall設定 SCP（SSH）/SFTP/FTP などの接続元IPアドレス制限
IPSを導入
プラットフォームの脆弱性を突く侵入の予防（※1）
IPSのシグネチャを最新にする
WAFを導入 アプリケーションの脆弱性を突く侵入/改ざんの予防
（※2）WAFのシグネチャを最新にする
WAFのアウトバウンド検査を有効にする 改ざんされてしまった時の対策
Webサイト CMS（WordPress）
管理ページヘアクセス制限
Httpd の設定
～/wp-adomin ディレクトリへのIPアドレスよるアクセス制限
総当たり攻撃（Brute force attack）対策
管理ページをHTTPSのみに変更 AdminSSL プラグインの導入
admin ユーザー変更 adminは危険なので使わない
プレフィックスの変更 テーブルのプレフィックスを変更（SQL Injection対策）
アカウントのロックアウト設定
Simple Login Lockdown プラグインの導入
総当たり攻撃（Brute force attack）対策
WordPressのバージョン隠蔽
NoMeta プラグインの導入
例） <meta name=“generator” content=“WordPress 3.5.1” /> を非表示
アップデート
運用も確立
プラグインのアップデート
脆弱性診断
アプリケーション／プラットフォームの
脆弱性診断を実施
不正侵入／改ざんされてしまう危険を事前に把握
（対策後にも脆弱性診断を）
改ざん検知 Webページの改ざんを検知する
改ざんされてしまった時の対策
外部からの改ざん検知
※1 【例】 CGI版PHPにリモートからスクリプト実行を許す脆弱性（CVE-2012-1823）をブロック
※2 【例】 SQL Injection による Wordpress データベースの書き換え（ページ改ざん）をブロック
本書の範囲
LAMP + WordPress で運営されている貴社Webサイトの改ざん対策は多岐に渡ります。
代表的な対策をリストアップしましたので、改ざん対策の計画を作成する際の参考として下さい。
本書では Sophia Protective Shield（SPS）+gred による、入口対策・出口対策・改ざん検知を提案いたします。

8. CONFIDENTIAL
UPDATE abcde_posts SET post_connect = ‘こんにちは。SEです。<iframe src=“悪意のあるURL”></iframe> …’ WHERE ID = xx;
SQL Injection
2-2. WAFによる改ざん対策（入口対策・出口対策）
Sophia Research Institute,Ltd. Confidential 7
WordPressは投稿を、データベースに保存しています。
SQL Injection により投稿内容を書き換える事で、Webページを改ざんすることが出来ます。
SELECT * FROM abcde_posts WHERE ID=xx;
DB
ID: xx
post_author: xx
post_date: 2013-01-01 00:00:00
post_date_gmt: 2013-01-01 23:59:59
post_content: こんにちは。SEです。
これはサンプル投稿です。
…
こんにちは。SEです。
これはサンプル投稿です。
…
Response
Request Query
Result
DB
こんにちは。SEです。
これはサンプル投稿です。
…
Request Query
Result
SQL Injection により改ざんされた「悪意のあるURLを
含む投稿」を返してしまう。
SELECT * FROM abcde_posts WHERE ID=xx;
Drive-by download
attack
Response
正常時
SQL Injection による改ざん後
もちろん、WordPressもコードレベルで対策されていますが「バグや対策漏れによる脆弱性」が存在する可能性は否めません。
WAFを利用し、SQL Injection 対策（入口対策）を行うことをおすすめします。
そして、SQL Injection以外の方法で投稿を改ざんされてしまった際の対策も必要です。WAFのアウトバウンド検査で「Gumblar
攻撃特有の振舞い（Behavior）を含むレスポンス」を遮断し、仮に改ざんされても、ユーザーに悪意のあるURLを含むレスポンス
をしない様にすること（出口対策）を提案いたします。

9. CONFIDENTIAL
2-3. 改ざん検知 gred セキュリティサービス
Sophia Research Institute,Ltd. Confidential 8
定期的に
Webサイトを解析
改ざんを検知
アラート送信
安全な画面に
切り替え
レポート提供
【課題】改ざんの検知
• 検知した際、管理者にアラート
メールを送信
【課題】改ざん発生時 / 検知時
• 悪意のあるURLに、お客様を
アクセスさせない仕組みが必要
【課題】改ざん検知時
• 改ざん内容の詳細レポート
が必要
「1-2. 課題の抽出」に述べた、改ざん検知関係の課題を全て解決出来る製品として
セキュアブレイン社の gred セキュリティサービスを提案いたします。
1日4回の
クローリング
クロスドメイン
管理・警告機能
自社ドメイン以外のスクリプトを警告。
ウェブサイト閲覧者を守ります。
改ざんページを
自動で切り替え
改ざんが検知されたら即時にメンテナ
ンス画面に切り替え。
gred 証明書
ウェブサイトの安全を証明。
gredによって守られている検証
結果を表示。
Webサイトのコンテンツやリンク先等、複数の要素を解析します。
ドライブバイダウンロード攻撃（Drive-by download attack）の「踏み台としての改ざん」等
従来の対策では検知が難しいウェブサイトの改ざんも検知が可能です。

10. CONFIDENTIAL
2-4. Sophia Protective Shield（SPS） + gred のご提案
Sophia Research Institute,Ltd. Confidential 9
貴社Webサイトのピーク時トラフィックが5～6Mbps
専用WAFよりも、SPS+gred のパックサービスをお勧めいたします。
初期費 月額
SPS + gred パックサービス 98,000円 98,000円
• WAFによる入口対策・出口対策に対応
• 改ざん検知の課題を解決
• パックサービスはランニングコスト（月額）が、お得！
SPS 通常の月額 89,800円
+
gred 通常の月額 15,000円
↓
104,800円
※ 表示価格は全て、税抜きです。
月額 98,000円
月々6,800円、お得です。
（クローリング 4回/日）
SPS仕様
Internet
ピーク時トラフィックの目安 10Mbps以内
FQDN数 2 まで
SSL証明書 1 まで
機能概要
※ 詳しくはSSS Webサイトをご参照下さい。
• WAF (Reverse Proxy mode）
• DDoS攻撃防御
【SSS Webサイト】 http://www.sps.jp.net
貴社Webサーバ
ご利用イメージ
• 改ざんアラート
• レポート
Sophia Protective Shield
クローリング
ユーザー
Proxied Connection

11. CONFIDENTIAL
Sophia Research Institute,Ltd. Confidential 10
３．お客様のメリット
本章では「SPS + gred パックサービス」ご利用いただいた際の、貴社のメリットを述べます。
1. 防御開始までの時間的なメリット
2. コストのメリット
3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」

12. CONFIDENTIAL
3-1. 防御開始までの時間的なメリット
Sophia Research Institute,Ltd. Confidential 11
ヒアリング
設計・構築作業
（オフサイト）
ポリシー
チューニング
運用開始
（ブロックモード）
約1週間 3～4週間 1日 約1ヶ月 本格的な運用
約2ヶ月間（危険な状態）
他社 WAF + 運用サービス
機器設置・導入
（オンサイト）
SPS + gred パックサービスは、お申込みの受付から最短３営業日で利用可能です。
本格的な運用が先延ばしになるということは、それだけ「危険な状態が続く」ということです。
SPS + gred はクラウド型サービスの利点を活かし、短時間でWAF運用を開始することが可能です。
SPS + gred
3～5営業日
デフォルトポリシーで
運用開始
（ブロックモード）
本格的な運用
初期設定
お申込書の
ご記入
（お客様作業）
⇒ 受付
デフォルトポリシーとは、SQL Injection / XSS の２種類の攻撃
防御に特化した設定です。
運用開始後にログを取得・解析し、貴社サイトの安全性を高め
る「おすすめポリシー」を提案いたします（逐次）。
おすすめポリシー設定による料金の追加はござません。

13. CONFIDENTIAL
3-2. コストのメリット
Sophia Research Institute,Ltd. Confidential 12
初期費 月額
SPS + gred パックサービス 98,000 98,000
他社 WAF + 運用サービス 1,000,000 300,000
他社WAF + 運用サービス
• 「最小構成の料金プラン」を選択した場合の価格です。
• WAF機器本体の提供を含みます。
• 別途設置スペースや電源等が必要です。
• 改ざん検知機能はありません。
初期費
月額
（12ヶ月）
計
SPS + gred パックサービス 98,000 1,176,000 1,274,000
他社 WAF + 運用サービス 1,000,000 3,600,000 4,600,000 0
1,000,000
2,000,000
3,000,000
4,000,000
5,000,000
SPS + gred パックサービス 他社 WAF + 運用サービス
1年間利用した場合
1年間利用で
3,326,000円 お得！
初期費
月額
（36ヶ月）
計
SPS + gred パックサービス 98,000 3,528,000 3,626,000
他社 WAF + 運用サービス 1,000,000 10,800,000 11,800,000
3年間利用した場合
0
2,000,000
4,000,000
6,000,000
8,000,000
10,000,000
12,000,000
14,000,000
SPS + gred パックサービス 他社 WAF + 運用サービス
3年間利用で
8,174,000円 お得！
SPS+gredパックサービスと、実際にWAFを導入するコストを比較しています。
１年間のご利用で、300万円以上もコストに差がつきます。
ほぼ同等の機能に加え、改ざん検知・DDoS攻撃防御まで付いて非常にお得です。
（円・税抜き）

14. CONFIDENTIAL
3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」
Sophia Research Institute,Ltd. Confidential 13
Sophia Protective Shield（SPS） には、WAF機能以外に「DDoS攻撃防御機能」があります。
本格的なDDoS攻撃防御機能を、利用料金（月額）内でご利用いただけます。
WAF
改ざん
検知
DDoS攻撃
防御
SPS + gred パックサービス ○ ○ ○
他社 WAF + 運用サービス ○ △ △
○ 機能あり △ 機種 / オプションによる ☓ なし
一 般 的 に WAF 製 品 の DDoS 攻 撃 防 御 機 能 は
ス ル ー プ ッ ト が 最 大 1 ～ 2Gbps 程 度 で あ り 、
別途契約のミティゲーションサービス※ との組み合わ
せを前提としています。
※ 大規模なDDoS攻撃を上流でクリーニングするサービス
 Secure OS
 Multi-core (64) processor + ASIC
 10G Anti-DDoS Cleaning Capacity
 2*10GE XFP
 8 *GE, 12* GE SFP
 2U
 Power Redundancy (AC/DC), 150W
NSFOCUS
ADS 6020
SPSのDDoS攻撃防御機能 通信キャリア、ISP、iDC事業者向けの、本格的なDDoS攻撃クリーナーNSFOCUS ADS 6020 を使用
しています。ADS は DDoS攻撃を含む通信を取り込み、「クリーニング」します。
正常な通信のみを透過し、DDoS攻撃を受けている最中でも、サービスの継続が可能です。
NSFOCUS ADS の対応する主な DoS / DDoS 攻撃
TCP
- Syn flood
- Ack flood
- Fins flood
- Fragments
UDP
- random port floods
- Fragments
Anonymous attacks
Connection Exhaustion
Stream Flood
Malformed
HTTP GET/POST Flood
ICMP
- Unreachable
- Echo
- fragments
HTTP header attacks
DNS flood attacks
SIP attacks

15. CONFIDENTIAL
会社情報
Sophia Research Institute,Ltd. Confidential 14
ソフィア総合研究所株式会社
〒160-0022
東京都新宿区新宿六丁目24-20 Welship東新宿2階
TEL：03-6205-5333 （代表） 050-5515-0300 （IP-Phone）
FAX：03-6205-5332
http://sri.jp
Memo
ソフィア総合研究所株式会社
セキュア・ソリューション部
Sophia Secured Solutions（SSS）
http://www.sps.jp.net
クラウド型セキュリティ・サービスや、安全・安心なクラウド環境、脆弱性診断
サービス等のご案内しております。
また、ブログでは技術者による最新のセキュリティニュースの解説や、攻撃防
御に関するホットな情報を提供しています。ぜひ、ご来訪下さい。