セキュアブレイン、クロスドメインスクリプト混入を防ぐ「Web改ざんチェック」


 株式会社セキュアブレインは12月2日、Webサイトの改ざんを検出するサービス「ウェブ改ざんチェック」を発表した。SaaS型「gredセキュリティサービス」の新メニューとして提供する。

 gredセキュリティサービスは、Webサイトの改ざんを監視する「ウェブ解析機能」と、マルウェアへ迅速に対応する「ファイル解析」をSaaS型で提供するもの。新メニューの「ウェブ改ざんチェック」では、定期的にWebサイトのコンテンツを監視し、解析結果を定期報告。不正な改ざんが検知された際には、管理者へアラートメールを送信し、改ざんページや手法に関する詳細レポートを提供する。また、改修するまでの間、改ざんされたページを自動的に安全なメンテナンス画面へ切り替えるサービスも提供する。

 gredセキュリティサービスの「ウェブ解析機能」に加え、新機能「クロスドメインスクリプトの管理・警告機能」を備えるのが特長。

 昨今のWeb改ざんでは、閲覧したユーザーが知らないうちにウイルス感染するような「隠れた攻撃」を行う。その代表例が「クロスドメインスクリプト」で、一般のWebサイトにこれが仕掛けられると、アクセスユーザーは気づかぬうちに危険なWebサイトへ誘導され、ウイルス感染や個人情報漏えいしてしまう。

 この手口では、検知を逃れるために、わざと暗号化・難読化しないスクリプトを埋め込むGumblarウイルスなども確認されており、今後、ますます危険性が高まるとされている。クロスドメインスクリプトの管理・警告機能では、こうした手口に対応するため、監視対象のWebサイト全体に含まれるクロスドメインスクリプトをすべて監視。管理者が埋め込んでいる正規のスクリプトは監視対象外とすることで、意図しないクロスドメインスクリプトの混入に迅速に対処する。

 価格は、ページ数と1日のチェック回数により変動。300ページまでの場合、チェック回数が4回/日で9450円/月、8回/日で1万5750円/月、24回/日で3万1500円/月。複数ドメインをサポートし、上記の料金で10ドメインまでチェックが可能。なお、gredセキュリティサービスでは30日無償トライアル版を用意している。検査対象となるWebサイトのコンテンツをダウンロードして検査するため、Webサイトへほとんど負荷をかけずに試用できるという。

 同社では初年度1000社の導入を見込む。




(川島 弘之)

2009/12/2 18:12