サイバー攻撃の種類とWebセキュリティ

2017.10.17

セキュリティ対策

DDoS攻撃やランサムウェアなど話題となるサイバー攻撃は有名となってきていますが、Webサイトへのサイバー攻撃であまり知られていないサイバー攻撃が多くあります。
オンラインサービスを提供する企業、また企業でセキュリティ対策の担当となった方はサイバー攻撃を熟知することが、具体的なセキュリティ対策の一環となります。現在確認されているサイバー攻撃の仕組みを知ることで、具体的な取り組みのヒントとなるでしょう。
今回は、Webサイトへのサイバー攻撃にはどのようなものがあるかと、一般的なWebセキュリティと対策のポイントについてご紹介します。

目次

Webサイトへのサイバー攻撃の種類

SQLインジェクション攻撃

SQLインジェクション攻撃とは、Webサイトの入力フォームなどに不正な文字列(SQL文)を入力することで、Webサーバの裏にあるデータベースを不正に操作する攻撃です。SQLインジェクション攻撃を受けると、データベース内の機密情報の漏えいや、ファイルの改ざんなどの被害がでます。

OSコマンドインジェクション攻撃

OSコマンドインジェクション攻撃とは、Webサイトの入力フォームなどに不正な文字列を入力することで、OSに対する命令文を実行させ、不正な操作を行う攻撃です。SQLインジェクション攻撃同様に、情報漏えいやデータの改竄などの被害がでます。

LDAPインジェクション攻撃

LDAP(Lightweight Directory Access Protocol)とは、ディレクトリサービスのひとつです。
ディレクトリサービスには、サーバやアプリケーション、パソコン等のネットワークに接続する機器を一元管理し、ユーザやアプリケーションからアクセスを制御する機能があります。

LDAPインジェクション攻撃とは、ユーザの入力に基づいてLDAPにアクセスし処理する際に、攻撃者によりLDAPアクセス内容を変更されてしまう攻撃です。これにより、権限がないアクセス許可やLDAP内の情報が変更されてしまいます。

DoS/DDoS攻撃

DoS/DDoS攻撃とは、様々な手段で攻撃対象のリソース(ネットワーク帯域、CPU、メモリ、ディスクなど)を枯渇させるように大量トラフィックを送信し、攻撃対象のサービスを停止させようとする攻撃です。

クロスサイトスクリプティング攻撃

クロスサイトスクリプティング攻撃とは、掲示板サイトのようなユーザからの入力内容をWebページに表示するWebサイトに、攻撃者が悪意のあるスクリプトを埋め込む攻撃です。対象のWebサイトを閲覧したユーザーは、偽ページへ誘導され個人情報を窃取されたり、ブラウザ上から取得可能なユーザコンピュータ上の情報(Cookie等)を窃取されるなどの被害にあいます。

ディレクトリ・トラバーサル攻撃

ディレクトリ・トラバーサル攻撃とは、Webサーバの管理者が公開(許可)していないファイルに攻撃者が不正にアクセスしファイルの閲覧や改ざんをする攻撃です。簡単で推測されやすいディレクトリを設定していると、目的のディレクトリへ辿られてアクセスされてしまいます。

ドライブバイダウンロード攻撃

ユーザがよく利用するWebサイトへ悪意のあるプログラムを仕掛け、閲覧したユーザへウイルスなどを感染させる攻撃がドライブバイダウンロード攻撃です。アクセスユーザが多いWebサイトや特定企業・団体のWebサイトが標的とされる傾向があります。

ゼロデイ攻撃

サーバ、OS、ミドルウェア、アプリケーションが持つ脆弱性が発見されてから、ベンダーによりセキュリティパッチ(修正プログラム)が適用されるまでの期間を狙って実行されるサイバー攻撃です。つまり、セキュリティパッチが提供されてからゼロ日目で行われる攻撃です。

パスワードリスト攻撃

パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、不正にログインするサイバー攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃が成立してしまうのです。

ブルートフォースアタック(総当たり攻撃)

ブルートフォースアタックとは、IDとパスワードでユーザー認証する際のパスワードを手当たり次第試して、パスワードを解析しようとする手法です。

Webセキュリティ対策

Webセキュリティ対策には、SSLやファイアウォール、Web改ざん検知、WAFなどの対策があります。これらについてどのようなサイバー攻撃を防いで、どのような効果があるのかをご紹介します。セキュリティ対策は一製品のみで使用せずに、複数用いる多層防御が推奨されています。それぞれのセキュリティ方法には一長一短があり、それぞれの長所を生かして欠点をカバーしあう意識が必要不可欠です。

SSL

SSLとは、インターネット上で送受信される情報を暗号化する仕組みの一つです。一般的に行われるインターネットやLANといったネットワークでは、どのような通信が流れているかを見ることができます。この操作をパケットキャプチャといいます。しかし、通信が暗号化されていると、パケットキャプチャでも通信内容を確認することはできなくなります。(通信元、通信先、通信プロトコルなど一部確認できるものもあります)
この暗号化通信で一般的に使われているのがSSLとよばれる仕組み(プロトコル)です。

SSLで通信すれば、第三者が通信の内容を覗くことが困難となります。
よく目にするものとしては、WebブラウザのURL欄に”https://~”となっている場合がありますが、この場合にブラウザとWebサーバ間でSSLによる暗号化通信が行われています。

例えば、Webブラウザで個人情報や銀行口座情報といった重要なデータをやりとりしたい場合などにSSL通信が採用されます。

ファイアウォール

ファイアウォールをネットワークの出入り口(ポート)に設置することにより、設定したルールに基づいて許可する通信、不許可とする通信といったように通信を制御することができます。このような制御をパケットフィルタリングと呼びます。また、このルールを記述したものをACL(Access Control List)と呼びます。
ファイアウォールを設定することで指定したサイトやソフトウェアによるネットワーク接続を拒否・許可することが可能です。
そのためファイアウォールを導入することで、ルールに基づかない通信を防ぐことができます。これにはサイバー攻撃を防ぐという意味だけでなく、組織の利用者が組織のネットワーク利用ポリシーに反した通信を防ぐという意味もあります。例えば、ブラウザでのWeb閲覧は許可しても、社内からのP2Pファイル共有を禁止することができます。
なお、許可された通信ルールを使って行われるサイバー攻撃は当然防ぐことはできません。そのため「なりすまし」の不正アクセスには弱いという側面もあります。
したがって、ファイアウォールだけでセキュリティ脅威に対応することはできないので、IDS/IPSWAFといった別の方法と併せて利用します。

Web改ざん検知

Web改ざん検知は、Webサイトを毎日チェックしWebサイトが改ざんされていないかを確認するサービスです。
改ざんを発見した場合に、速やかに管理者へ通知するサービスや、改ざん前の状態に自動復旧するサービスがあります。
Web改ざんには画像や文字を改ざんされる見た目で分かるタイプと、悪意のあるマルウェアを埋め込まれる目に見えないタイプがあります。改ざん検知サービスを導入することで、たとえWebサイトが改ざんされてもすぐに発見・修正すること出来るため、被害を最小限に抑えることが可能です。しかし、検知サービスを導入していない場合、発見が遅れ企業イメージのダウンや、多くのユーザーがマルウェアに感染するなど被害が拡大してしまう可能性があります。

WAF

WAF(ウェブアプリケーションファイアウォール)はWebアプリケーション・Webサイトへのサイバー攻撃を防ぐセキュリティ対策です。
上記で紹介したSQLインジェクション攻撃やクロスサイトスクリプティング攻撃などのブロックが可能です。このようなウェブアプリケーション層へのサイバー攻撃は、ファイアウォールではブロックでできないためWebサイトを運営する企業には必要な対策の一つです。

クラウド型WAF「攻撃遮断くん」

クラウド型WAF「攻撃遮断くん」は、上記でご紹介しているWebアプリケーションの脆弱性を悪用したサイバー攻撃からWebサーバ・Webサイトを守ります。(対応攻撃はこちら)
面倒な導入作業や運用作業は必要なく、簡単にWebセキュリティ対策が可能です。

まとめ

サイバー攻撃のといっても、PCなどのエンドポイントセキュリティだけではなくWebへのサイバー攻撃も多くの種類があります。さらに、Webアプリケーション層へのサイバー攻撃による被害は大量の機密情報漏えいに繋がる可能性があります。
ぜひこの機会に、自社Webセキュリティ対策の状況を確認してみてはいかがでしょうか。

関連記事