脆弱性にはさまざまな種類があります。また、脆弱性を悪用したサイバー攻撃の手口も巧妙化の一途をたどっています。ある脆弱性を悪用したサイバー攻撃への対策が整えばまた異なる脆弱性を悪用したサイバー攻撃が登場する、まさにイタチごっこともいえる状況です。それ故に多様な攻撃のアプローチを知ったうえでの脆弱性対策が求められます。この記事では最低限知っておきたい脆弱性の種類についてまとめます。
脆弱性を悪用したサイバー攻撃にはよく知られたものもあればあまり知られていないものもあります。セキュリティ対策は、脆弱性についての知見がないために無防備な状況であることが多いようです。有名な脆弱性を悪用したサイバー攻撃だけでなくあまり知られていないような脆弱性を悪用したサイバー攻撃についても知っておくことはセキュリティ対策を考える上で役に立ちます。そして、自分たちのWebサイトにどのような脆弱性があるのかも知っておきたいところです。
現在もっとも有名なサイバー攻撃の一つが、ランサムウェアというマルウェアを利用したサイバー攻撃(ランサムウェア攻撃)です。この攻撃はWebサイトやWebアプリケーションに大きな被害をもたらすだけでなく、攻撃者から脅迫を受ける悪質さから、注意が必要なサイバー攻撃のひとつです。
このランサムウェア攻撃の大きな特徴は、PC等のデバイスやWebサイトに不正侵入し、特定ファイルの暗号化や、情報端末をロックし利用できなくする点にあります。つまり本来データにアクセスできる利用者が、データにアクセスできなくなります。
そのうえで攻撃者はデータを「人質」に、システムのロックやファイルの暗号化の解除と引き換えに「身代金」を要求します。
多くのサイバー攻撃の場合、価値のある情報の漏洩や、それによる企業イメージの棄損など直接金銭を介在しない被害が一般的です。それに対してランサムウェア攻撃の場合は直接金銭的な被害をもたらすという特徴があります。
また、ランサムウェアに感染し、ファイルの暗号化が急激に進むことで閲覧・使用できないシステムやデータの範囲が拡大する場合もあります。急速な被害の拡大により、最終的にはそのデバイスやWebサイトが機能不全に陥ることにもなりかねません。こうした焦りから犯人の要求通りに身代金を支払うことが多くあるようですが、身代金を支払うことで暗号化の解除を得られる補償はないので、身代金を支払うべきではありません。
ランサムウェア攻撃の被害は多く、近年もっとも注意すべきサイバー攻撃の一つといえます。
大企業だけでなく中小企業やネットショップなど個人経営の事業でも被害が拡大しているのが「インジェクション」と呼ばれるサイバー攻撃です。この「インジェクション」とは「注入」を意味し、Webサイトの入力フォームやログイン画面で特定文字列を含むコマンドを入力、実行することでデータベースに不正にアクセスし、情報摂取などのを目的とした不正な操作を行います。
Webサイトを狙った攻撃で、もっとも多いとされるものがSQLインジェクションです。この攻撃によりデータベース内の重要情報の漏洩や、データの改ざん、削除などが行われる可能性があります。
類似するサイバー攻撃としては、SQLインジェクション同様に不正な文字列を注入することでOSへの命令文を実行しデータを不正に操作するOSコマンドインジェクション、ディレクトリサービスにアクセスすることで権限のないアクセス許可などを可能にするLDAPインジェクションなどがあります。
これらのインジェクション攻撃ではネットショップの顧客データが狙われることが多く、クレジットカード番号の流出による被害、情報漏洩による企業・店舗のイメージ低下などの被害をもたらします。人気のあるネットショップなどが狙われやすく、個人が運営するネットショップの場合には個人レベルでのセキュリティ対策が必要とされ、対応が難しい問題と言えます。
OSやWebアプリケーションの脆弱性に問題がないかなど、日頃からセキュリティ対策に注意を払う必要があります。
掲示板など不特定多数の人が利用するWebサイトに対する攻撃手法として、クロスサイトスクリプティング(XSS)があります。この攻撃は、ターゲットとしたWebサイトの脆弱性を悪用して罠を仕掛け、攻撃者が悪質なサイトへ誘導(サイトをクロス)するスクリプトを実行し、サイトに訪れるユーザーの個人情報などを詐取したり、マルウェア感染させたりするサイバー攻撃です。
このサイバー攻撃にはWebサイト管理者が気づかない間に被害が拡大するリスクがあること、利用者が不特定多数のため容易に被害が拡大することなどが留意すべき点として挙げられます。掲示板を利用するためにアクセスしたところ、心当たりのないWebサイトに誘導されて個人情報を摂取されるような問題も起こり得ます。
費用と労力をかけさえすれば万全なセキュリティ環境を整えられるわけではありません。年々巧妙化するサイバー攻撃の手口に備えるためにも、必要な対策を見極めた上で費用と労力をかけるという取捨選択が求められるのではないでしょうか。
セキュリティ対策サービス導入はもちろん、クラウド型WAFなどの選択肢も踏まえながらの検討が望ましいです。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
SQLインジェクション、ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断します。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
【WordPressとDrupal】WAFでオープンソースCMSの脆弱性を防ぐ
2020.02.28
セキュリティ対策
【サイバー攻撃解説】DBへの悪質なアクセス “SQLインジェクション”
2016.11.15
セキュリティ対策
Apache Struts2の脆弱性で広がるサイバー攻撃の被害
2017.03.30
セキュリティ対策
2020.05.11
セキュリティ対策
2020.05.08
セキュリティ対策
WordPressの脆弱性による被害事例と今すぐできる対策とは?
2019.06.03
セキュリティ対策