Webサイトの個人情報漏えい、WAFで対策はできるのか

2017.09.05

WAF

Personal-information-leakage-countermeasures

「サイバー攻撃により個人情報が漏えいした」というニュースを目にすることは珍しくなくなりました。商品の購入、動画・音楽の視聴や予約などはWeb上で簡単に行う事ができるようになり、Webサービスがあることで私たちの暮らしはとても便利になりました。そして、Webサービスを利用するには個人情報の入力を求められることが多々あります。サイバー攻撃が増加する中で、これらの個人情報が漏えいする事件が多発しています。個人情報を知られてしまうことで、思いもしない被害が個人や企業に発生しています。
今回はインターネット経由での情報漏えい被害状況と対策についてご紹介します。

目次

インターネットからの個人情報漏えい発生状況

NPO日本ネットワークセキュリティ協会が公表した「2016年情報セキュリティインシデントに関する調査報告書」によると、2014年以降の情報漏えい件数が減少傾向にあることがわかります。
2014年度は情報漏えいの多くは「紙媒体」「USB等可搬記録媒体」からでしたが、2016年には4分の1まで減少しています。一方で「インターネット」からの情報漏えい件数は横ばいで推移しています。今後もクラウドサービスが普及するにつれて「紙媒体」「USB等可搬記録媒体」などからの情報漏えい件数は減少し、インターネット経由での情報漏えい件数は増加していくと予想できます。

漏えい経路別インシデント件数(経年)

 

紙媒体からの情報漏えい件数が一番多いにも関わらず、「漏えい媒体・経路(人数)」のグラフをみてみると、インターネット経由での情報漏えい人数が全体の8割を以上であることがわかります。インターネット経由での情報漏えいは、一度に数万や数十万の個人情報が漏えいするため、情報漏えい件数が100件程でも大量の情報が漏えいしていることがわかります。そのためWeb上での個人情報漏えいや情報の窃取は、一度の事件でも被害者数や被害金額が大きくなる可能性が高いものと言えるでしょう。

漏えい媒体・経路(人数)

図の引用:NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」2016年版

インターネット経由で個人情報が漏えいした被害事例

2016年に起きたインターネット経由で起きた情報漏えい事件の中で、大規模な情報漏えいの被害が出た事例をご紹介します。

J-WAVE Webサイトへの不正アクセス

2016年4月に株式会社J-WAVEのウェブサイトが不正アクセスを受け、サーバ上に保管されていたリスナーに関する個人情報が漏えいしました。

Webサイトで使用していた「ケータイキット for Movable Type」におけるOSコマンドインジェクションの脆弱性を悪用した攻撃が原因です。これによりサーバが遠隔操作され約64万件の個人情報が漏えいしました。攻撃発生時は、「ケータイキット for Movable Type」の脆弱性は未知の脆弱性であり、ゼロデイ攻撃による被害を防ぐことは困難であったとされています。

参考:株式会社J-WAVE J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ

日本テレビ放送網株式会社のホームページへ不正アクセス

株式会社J-WAVEの情報漏えいと同時期の2016年4月、日本テレビ放送通信網株式会社では約42万件の個人情報が流出しました。ホームページの「ケータイキット」におけるOSコマンドインジェクションの脆弱性を悪用した攻撃が原因で、J-WAVEの事件と同じ脆弱性によるものです。

参考:日本テレビ放送網株式会社 個人情報不正アクセスによる調査報告書

WAFによる情報漏えい対策

インターネット経由での情報漏えいを防ぐにはWAFが有効な対策方法の一つです。
WAFは脆弱性を悪用した攻撃を防ぐセキュリティサービスです。J-WAVEや日本テレビ放送網におけるOSコマンドインジェクションの脆弱性を悪用した攻撃などもWAFを導入することで防ぐことが可能です。
以前であれば専用の機器やスキルが必要で、WAFはコストが高いという点で導入をしぶる企業も少なくありませんでした。しかし使いやすく、低価格で利用できるクラウド型が登場したことで、セキュリティ対策として評価が高くなっています。

クラウド型WAF「攻撃遮断くん」は、WebサイトやWebサーバへのあらゆるサイバー攻撃を防ぐことができます。SQLインジェクションやOSコマンドインジェクション、DDoS攻撃などのサイバー攻撃を一切の手間を掛けること無く防ぐことが可能です。WAFの運用は不要なため、専任の技術者不在の場合でも導入可能です。

まとめ

今回ご紹介した事例のように、インターネット経由での情報漏えいは紙媒体などとは異なり大規模な被害へと繋がることがあります。WAFを導入していることで、インターネット経由でのリスクを減らすことができます。もしもWAFを未導入の場合は、ぜひこの機会にご検討ください。

クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

この記事と一緒に読まれています