企業経営を行う上で、Webサイトは自社のサービスを手軽に消費者へ周知することができるため、非常に便利です。しかし、Webサイト運営者のなかには、セキュリティ対策の重要性について認識が浅い人もいるのではないでしょうか。そこで、この記事ではWebサイトにおけるセキュリティ対策の重要性について紹介します。
目次
サイバー攻撃者に攻撃される恐れ
Webサイトには個人情報や企業情報等、さまざまな情報が含まれています。これらの情報はサイバー攻撃者にとって格好のターゲットになります。彼らは手に入れたデータを別の犯罪に利用したり、販売して金銭を得ようとしています。Webサイトへのサイバー攻撃は不正アクセスを起点として始まることが多く、また「マルウェア感染」もサイバー攻撃の起点として多く利用されます。まずは、マルウェアと不正アクセスの特徴について理解しておきましょう。
マルウェアの特徴
マルウェアは「悪意を持ったソフトウェア」という意味で、感染した端末に特殊な操作を実行させるプログラムです。近年では、スマホやタブレットに感染するものも多くなっています。
マルウェアには、大きく分類すると、ウィルス、ワーム、スパイウェアなどがあります。また、マルウェアの主な感染経路には電子メールやホームページの閲覧などがあります。かつては記憶媒体を介した感染が一般的でしたが、ネットワークの発達により、感染経路が複雑化しています。マルウェアによってもたらされる被害も多様化しており、いたずら目的でわいせつな画像やメッセージだけを表示する愉快犯のような場合もありますが、近年ではこのような愉快犯は非常に稀です。また、感染した端末のファイルの窃取や暗号化、パスワードなどの重要な情報を外部へ転送したりする被害に遭う場合もあります。
不正アクセスの特徴
不正アクセスとは、本来アクセス権限を持たない者がWebサイトや情報システム内部へ侵入を行う行為です。
Webサイトが不正アクセスを受けた場合、Webサイト内容の改ざん、個人情報漏洩の被害に遭う可能性があります。Webサイトは基本的に特定の管理者が管理、運営を行い、権限を持たない人は編集などができない仕組みになっています。また、Webサイトで集められた個人情報も管理者以外は閲覧できないように制限が設けられているケースがほとんどです。
しかし、裏を返せば、ネットワーク上で不正に管理者になりすますことができれば、管理者と同じように自由にWebサイトを編集できることを意味します。普段あまり意識することはないかもしれませんが、Webサイトはインターネットを通じて世界中とつながっています。そのため、世界中のあらゆる場所から、不正アクセスされる可能性があります。
不正アクセスはツールで管理者のIDやパスワードを総当たり的に調査する方法や、OSやソフトウェアの脆弱性を突く方法が多くあります。そのため、Webサイトの管理者はIDやパスワードの定期的な棚卸しや、OSやソフトウェアのアップデートを行うなどして対策する必要があります。
不正アクセスの被害はシステムの脆弱性が原因
マルウェアや不正アクセスによる被害は後を絶ちませんが、被害の多くはOSやソフトウェアの脆弱性を悪用されることが原因です。OSやソフトウェアの脆弱性を悪用した不正アクセスに用いられるサイバー攻撃には、OSコマンドインジェクションやSQLインジェクション、クロスサイトスクリイプティングなどがあります。
脆弱性を攻撃されると、まるで穴が開いているかのように情報システム内部へアクセスできてしまうため、「セキュリティホール」と呼ばれることもあります。脆弱性が発見されたOSやソフトウェアは、ただちに販売元が調査を行い修正プログラムなどを提供するケースが多く、ユーザはセキュリティアップデートにより修正プログラムを適用し、脆弱性に対処します。自社開発のソフトウェアを運用している場合には、脆弱性のない完璧なシステムを構築することは非常に難しいという点を念頭に置き、情報収集の方法や、脆弱性が発見された場合に予想される 脅威や影響を勘案した適切な対応手順を事前に策定しておくことが望まれます。
しかし、実際には脆弱性の発見と修正プログラムの提供は「いたちごっこ」である場合が多く、完全に解消することは難しいのが現実です。なぜなら、修正プログラムが更新されているように、サイバー攻撃者も新しい攻撃手法を考えているからです。大切なことは、常にWebサイトのセキュリティについて積極的に情報収集を行うことです。新しい脆弱性が発見された際には、その内容についてできるだけ早期に情報を入手し、修正プログラムは速やかに適用しましょう。
Webサイトを狙った攻撃手法
Webサイトへの具体的な攻撃手法を3つ紹介します。
攻撃手法その1:SQLインジェクション
SQLインジェクションは、企業のWebサイトで利用されることが多いWebアプリケーションの脆弱性を悪用した攻撃手法の一つです。
Webサイトのお問合せフォームなどにSQLというデータベース言語を含んだ内容を入力するなどして、不正にコマンドを実行する攻撃手法です。SQLはデータベースを操作する言語であり、WebアプリケーションにSQLインジェクションの脆弱性がある場合、不正な操作命令を受け付けてそのまま処理してしまいます。それによりデータベースを不正に操作し、情報の窃取やコンテンツの改ざん、削除が可能となります。たとえば、「住所や氏名などの顧客情報を第三者の端末に送信する」「ホームページのリンク先を勝手に変える」といったケースが挙げられます。後者の場合、マルウェアに感染するWebサイトへの誘導など、さらに被害が拡大する可能性もあります。
WAF(ウェブアプリケーションファイアーウォール)などのセキュリティ対策の導入は効果的ですが、安全なWebアプリケーションの開発がSQLインジェクションに対する根本的解決となります。
攻撃手法その2:ゼロデイ攻撃
ゼロデイ攻撃はOSやソフトウェアの未知の脆弱性を悪用して行われるサイバー攻撃です。
脆弱性が認識されたプログラムは、サービス提供元がすぐに修正プログラムの開発に取り掛かりますが、一朝一夕で対策されたプログラムを提供できるわけではありません。脆弱性を悪用された場合の影響の深刻度によっては数日程度で更新プログラムの提供がある場合もありますが、一般的には修正プログラムが完成するまで、数カ月程度かかります。脆弱性を認識した攻撃者は脆弱性が公表され修正プログラムが提供されるまで何度もその脆弱性を悪用した攻撃を行うことが可能です。
攻撃手法その3:クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)とは、SQLインジェクション同様、企業のWebサイトで利用されることが多いWebアプリケーションの脆弱性を悪用したサイバー攻撃手法のひとつです。
ユーザからの入力内容にHTMLタグを生成して画面上に表示する掲示板サイトやTwitterのようなWebアプリケーションで、Webアプリケーションの脆弱性(XSS脆弱性)を利用して悪意のあるデータを埋め込みスクリプトを実行させる攻撃手法です。攻撃者は、入力フォームにスクリプト付のリンクを含む内容を入力してWebアプリケーションに罠を仕掛けます。掲示板サイトやTwitteなどのサービスへの訪問者がリンクをクリックしてスクリプトを実行すると、別のWebサイト(クロスサイト)に遷移して悪意のある内容(スクリプト)が実行され、悪意のあるウェブ画面が表示され、マルウェア感染などを引き起こします。
サニタイジングや入力値の制限による対策がまず必要ですが、WAF(ウェブアプリケーションファイアーウォール)などのセキュリティ対策を合わせて導入することで相乗効果を期待できます。
身近なセキュリティ対策から実行してみよう
Webサイトのセキュリティ対策を行う必要性について説明しました。十分なセキュリティ対策を行っていないと、マルウェアや不正侵入による被害を受ける可能性が高くなります。セキュリティ対策には費用がかかりますが、対策を怠った場合に甚大な損害を被る可能性があります。まずは、「IDやパスワードを定期的に変更する」「OSなどのアップデートを確認する」といった身近な対策から実行してみてはいかがでしょうか。
サイバー攻撃を可視化・遮断する「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
