webセキュリティで押さえておきたい脅威と対策

ITの進化に加えて個人の方の利用するデバイスの性能も上がり、インターネットを利用する人々が非常に増えてきました。

しかし、webセキュリティについての意識や知識が少ない場合も多く、悪意のある第三者からの攻撃に晒されているのも現実です。

今回はサイバー攻撃から身を守るために、webセキュリティで抑えておきたい脅威と対策についてご説明します。

webセキュリティや脅威、サイバー攻撃という言葉を聞くと、個人の方は自分には関係ないと考えてしまいがちです。
しかし、実際には企業や公的機関への攻撃とともに、一個人を狙った脅威も多数存在します。

パソコンやスマートフォンやタブレットなど、デジタルデバイスをウィルスなどによって乗っ取られてしまう脅威です。

連絡先などの情報が漏洩したり、個人情報を含むデータが盗まれる可能性もあります。場合によっては会話の盗聴やカメラから画像を取得するなど、映画のような出来事が起こってしまう可能性も考えられます。

対策としてはウィルス対策ソフトの利用、システムアップデートを最新のものにすること、動作がおかしいと思ったら、初期化してから最新の状態にすることなどが挙げられます。

ウィルスに感染する経路の一つが違法サイトの閲覧です。ブラウザなどで閲覧した際にウィルスをダウンロードしてしまい、デバイスを乗っ取られてしまうといったものです。

違法なサイトにアクセスしないことが当然の対策となりますが、近年の違法サイトは違法であると判別が難しいこともあるので、パソコンやスマートフォンなどのウィルス対策ソフトの利用だけでなく、webサイトをブラウジングする際にスクリプトを実行しない設定にすることなどが挙げられます。

情報漏えいや流出、デバイスの乗っ取りなどの脅威に遭遇してしまった場合、利用するメールアドレスやパスワードを元にモバイルバンキングやクレジットカードなどのオンラインサービスに不正にアクセスされる脅威もあります。

特にメールアドレスとパスワードがサービスごとに同じものであると被害はより大きいものとなって行くでしょう。

対策としては情報漏えいや流出が起きた時、またはデバイスの乗っ取りを受けた時はオンラインサービスのメールアドレスとパスワードを早急に変更することが望ましいです。

同じ趣味を持つ方や家族や友人などと繋がれるソーシャルネットワークサービスを利用していて誹謗中傷を受ける脅威もあります。

インターネットによって誰にでも見れる場で攻撃されたり、晒されたりするで、カッとなって相手にしてしまい、炎上によって直接的に攻撃される恐れもあります。

対策としてはアカウントの作り直しやブロック機能などを使い極力相手にしないこと、または必要以上に不特定多数の人と繋がらないようにすることが挙げられます。

組織が受ける可能性がある脅威は、個人の方でも情報を発信している場合に受ける可能性もあります。

webセキュリティの脅威と対策への知識を深めるためにも、組織や個人問わずチェックしておきましょう。

サイバー攻撃を受けることでシステムを乗っ取られてしまい、公式サイトの文言やデータなどを改ざんされてしまったり、意図しない情報を書き込まれたり、別のURLに転送されてしまうことがあります。

個人のユーザーは公式サイトやドメインを信頼しているので、誤った情報を正しいものと受け止めてしまったり、意図しない悪質なURLに転送されて被害を受けてしまうこともあり、組織への信頼性を著しく欠くことになる脅威です。

対策としてはサイバー攻撃によってサイトが改ざんされたことを検知する仕組みや、不正なアクセス、ログイン試行などをチェックできるようなシステムにすることが挙げられます。

サイト改ざんをされた時に見た目はそのままでウィルスを仕込まれる脅威もあります。

公式ページを信頼して見に来てくれたユーザーに延々とウィルスを感染させてしまうことになり、発見が遅れると非常に被害が大きくなることがあります。

対策としてはサイト改ざんと同じですが、定期的にサイトをチェックする仕組みやwebサイトのソースが変更された時にログが残る仕組みにして、意図しない変更であればすぐに戻せるようにすることが挙げられます。

サイバー攻撃を受けてシステムを乗っ取られてしまう場合と組織内部の人間によるデータの改ざんが行われてしまう脅威です。

デジタルデータを改ざんされたり、機密情報が書き換えられてしまうことは組織としての根幹を揺るがす恐れもあり、データを書き換えられたことによって誤った製品が作られたり、誤った情報が公になると甚大な被害を生む恐れがあります。

対策としてはデータやファイルのアクセス・閲覧・編集・削除などの権限を明確化し、不用意に触れない状態にしておくことや、社内ネットワーク以外のアクセスは遮断、社内ネットワーク内でも一部の管理者のみ権限を割り振るなどが挙げられます。

インターネット上に個人情報や機密データが漏洩したり流出することで、信頼性を著しく欠くことになる脅威です。

悪意のある第三者の手にデータが渡ってしまうことで、二次被害が大きくなる恐れもあります。

対策としては個人情報や機密データの取扱いを明確化し、管理体制を徹底することです。こちらもサイバー攻撃によるものではなく内部の人間による漏洩や流出も考えられるので、アクセスや権限についてはしっかりと考える必要があります。

悪意のある第三者のサイバー攻撃は基本的にシステムを乗っ取り、無防備にした状態でサイトの改ざんやデータの削除、ウィルスを仕込んだりします。

また個人情報や機密データについても、閲覧やダウンロードが可能になり、情報漏えいや流出にも繋がります。

その他に心理的な不安や騙しの手口による攻撃は個人・組織ともに起こり得る脅威ですのでしっかりと見ておきましょう。

悪意のある第三者から言葉巧みなメールや心理的に不安にさせることで誤ってユーザーIDやパスワードの情報を渡してしまう脅威です。

また偽装ファイルなどが添付されていて、ウイルスを取り込んでしまう可能性もあるので非常に厄介です。

また添付されたURLにアクセスすることで、偽のページを表示し、公式サイトやサービスだと騙して情報を入力させられてしまう恐れもあります。

対策としてはウイルス対策ソフトの導入や、怪しいメールは開かないようにする指導、特に添付ファイルのあるメール、URLの記載されているメールは注意することが大切です。

システム的に不正なIPやメールアドレスを検知することも必要になります。

情報の流出や普段使っているメールアドレスを安易に不正なサイトなどで利用した場合に起こり得る脅威です。

SNSにログインされて成りすまされたり、メールアドレスにログインされ、個人情報や組織の情報などが漏洩する恐れもあります。

この脅威の恐ろしいところは友人や知人、取引先などに二次的な被害が起こりやすく、相手は本人や公式なメッセージだと思い騙されてしまいます。

対策としてはみだりに怪しいサイトに登録しないことや、組織であればメールアカウントにログインする際のアクセス制限などをすることが挙げられます。

SNSのアカウントなどは提供するサービスにすぐに連絡を入れて、どう対処すべきか対応を聞くことも大切です。

個人や組織のパソコンやデバイスをロックされたり、ファイルを暗号化するなどして、まるで誘拐犯人が身代金を要求するかのような脅威です。

データは盗まれることで悪用されることも多いですが、利用できなくされたり、パソコンそのものを使えなくさせることで業務や作業に支障があるだけでなく、場合によってはサービスを停止しなければならない可能性もあります。

対策としては、ランサムウェアはメールや不正なサイト閲覧などで感染してしまう恐れがあるので、メールアドレスの偽装や騙しによる脅威と同じく、不要なサイトはアクセスしない、またはウイルス対策ソフトの導入や怪しいメールは開かないようにすることなどが挙げられます。

今回はwebセキュリティで抑えておきたい脅威や対策についてお話しました。

システムの脆弱性を悪用した攻撃を受けないようにするためにパソコンやサーバーを最新の状態にすることやウイルス対策ソフトの利用、組織であれば不正なアクセス元の制限や不自然なアタックに対する対策も必要となります。

その上で必要なのが、自らウィルスを取り込まないようにすること。同時に自ら情報を渡さないようにすることが大切です。

webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 


https://www.shadan-kun.com/
 

（2018/4/26 執筆、2019/12/26修正・加筆）