不正改ざんサイトの内訳に変化、個人ブログが標的にされる可能性も

不正改ざんサイトの内訳の推移

　セキュアブレインは25日、無料のWebセキュリティサービス「gred（グレッド）でチェック」で収集したデータをとりまとめた。Webサイトの改ざん被害では、攻撃者が個人のブログを標的にしている可能性があるとして注意を促している。

　「gredでチェック」は、ユーザーが入力したURLについて、フィッシング詐欺やワンクリック不正請求が仕込まれていたり、不正改ざんなどが行われていないかを確認する無料のWebサービス。

　セキュアブレインによれば、4月には4085件のサイトが「危険」と判断されたという。「危険」と判断されたサイトの内訳は、フィッシング詐欺が2109件で最多。以下はワンクリック不正請求が916件、不正改ざんサイトが697件など。他のコンピューターへの攻撃を目的とした不正攻撃サイトは151件で、前月の74件から倍増した。

　不正改ざんの被害を受けたサイトの内訳については、2月時点では企業サイトが82.1％、個人サイトが15.2％だったが、4月では企業サイトが63.7％、個人サイトが25.1％と、個人のサイトの割合が増えていた。改ざんされた個人サイトの90％はブログだったという。

　セキュアブレインでは、個人ブログでは企業サイトほどのセキュリティ対策が行われていないと指摘。このため、改ざんに気付かなかったり、修正方法がわからずに放置しているユーザーがいると見ている。

　いわゆる「Gumblar（ガンブラー）」攻撃などによるサイト改ざんは、自らのサイトだけでなく、そのサイトを閲覧したユーザーにも被害が及ぶのが特徴。改ざんされた状態のサイトが増えることで、攻撃者はより多くのユーザーに攻撃できることになる。

　こうしたことからセキュアブレインは、「攻撃を行う側がより多くの個人を攻撃対象としている可能性が伺える」として、サイト改ざんの攻撃方法や、攻撃対象の変化には注意を払う必要があるとしている。