最低限知っておきたい脆弱性の種類まとめ

2020.06.12

Webセキュリティ

最低限知っておきたい脆弱性の種類まとめ

脆弱性とひと口に言ってもさまざまな種類があり、その手口も巧妙化の一途をたどっています。ある攻撃への対策が整えればまた別の攻撃が登場する、まさにイタチごっこともいえる状況なのですが、それだけに多彩なアプローチを知ったうえでの脆弱性対策が求められるのです。この記事では最低限知っておきたい脆弱性の種類についてまとめています。

目次

知られざる脆弱性もある

そんなサイバー攻撃にはよく知られたものもあればあまり知られていないものもあります。セキュリティ対策はどうしてもないがしろにされがち…というより知らないまま無防備な状況になってしまうことが多いものです。それだけに有名なサイバー攻撃に留まらず「知られざる脅威」に対しても基本的な知識を踏まえておきたいところです。そのためにも自分たちのサイトがどの部分に脆弱性を抱えているのか、脆弱性にはどんな種類があるのかも知っておきたいところです。

ランサムウェアによる脆弱性とは?

サイバー攻撃において現在もっとも有名な種類の一つがランサムウェアです。サイトやWebアプリケーションにもたらす被害の大きさだけにとどまらず、攻撃を行ったものに脅迫されるといった悪質な面でももっとも要注意なサイバー攻撃といってよいでしょう。

 

このランサムウェアの大きな特徴はサイトやデータベースに侵入することによって特定のファイルを暗号化したり、コンピューターをロックしてしまう点にあります。つまり本来データを閲覧することができる人間ができなくなってしまう状況に追い込まれてしまうのです。

 

そのうえでサイバー攻撃を行ったものはいわばデータを「人質」にすることでロックやファイルの解除の引き換えに「身代金」を要求してきます。先ほど触れた「脅迫される」とはこのことなのです。

 

多くのサイバー攻撃の場合、価値のある情報が流出してしまう、それによって企業イメージが損なわれるといった間接的な形での被害が一般的です。それに対してランサムウェアの場合は直接の被害をもたらすという点で非常に大きな特徴を持っており、また厄介な種類となってしまいます。

 

これはウイルスに対する脆弱性を抱えていると感染しやすいのでその対策が急務となるでしょう。

 

しかもこのランサムウェアに感染してしまうとファイルの暗号化がどんどん進んでしまい、閲覧・使用できないものが増えてしまいます。そのため早く犯人の要求に従って「身代金」を支払わなければどんどん被害が拡大し、最終的にはそのサイトやデータベースがまったく機能しない状況に追い込まれてしまうことになりかねません。こうした焦りもあって犯人の意のままに金品を支払ってしまうことが多いのです。

 

2018年頃から多少減少傾向が見られるものの、現在でもやはり被害は多く、現在もっとも注意すべきサイバー攻撃といえるでしょう。

インジェクション攻撃による脆弱性とは?

大企業のみならず中小企業やネットショップなど個人経営の事業でも被害が拡大しているのが「インジェクション」と名付けられたサイバー攻撃です。この「インジェクション」とは「注入」を意味する言葉で、不正な文字列をサイトの入力フォームやログイン画面で入力することでデータベースに不正にアクセスし、操作できるようになります。

 

このタイプでもっとも多いのがSQLインジェクションです。この攻撃を受けることでデータベース内のデータが漏洩してしまうだけでなく、データの改ざんなども行われてしまいます。

 

似たようなものではやはり不正な文字列を注入することでOSへの命令文を勝手に実行させることでデータを不正に操作できるようになるOSコマンドインジェクション、ディレクトリサービスにアクセスすることで権限のないアクセス許可などが行われるようになってしまうLDAPインジェクションなどもあります。

 

これらのインジェクション攻撃ではネットショップの顧客データが狙われることが多く、クレジットカード番号の流出による被害の拡大、情報流出による企業・店舗のイメージへのダメージなど対外的な被害を受けてしまうのが大きな問題点です。人気のあるネットショップなどが狙われやすく、個人レベルでの対策が必要な面があるのも厄介です。

 

Webアプリケーションの脆弱性に問題がないか、SSLなどの対策をしっかり施しているかどうかが問われます。

クロスサイトスクリプティングによる脆弱性とは?

掲示板など不特定多数の人が利用するWebサイトに対して行われるクロスサイトスクリプティングという攻撃手法もあります。これはWebサイトに対して悪意のあるスクリプトを埋め込むことでそのサイトを閲覧した人が偽のページに強制的に誘導されてしまうものです。

 

誘導された結果個人情報やCookieの情報などを盗み出されてしまいます。このサイバー攻撃はサイト主が把握していないうちにどんどん被害が拡大してしまうリスクがあること、不特定多数の人が利用するため拡大しやすいことなどが挙げられます。掲示板を利用しようと何気なくアクセスしてみたらいきなり変なサイトに誘導されて個人情報を抜き取られてしまった、といった問題も起こりうるわけです。

 

利用者をウイルス感染させるドライブバイダウンロード攻撃という非常に厄介な手法もあります。これはウェブサイトに特定のプログラムを仕掛けることで利用したユーザーをウイルス感染させてしまうものです。こちらも不特定多数の人に被害を拡大させるリスクを抱えています。大企業や有名人のサイトともなると一日数万人単位の人が閲覧することになりますから、こうしたサイトにこの攻撃が行われるとあっという間にウイルスを感染させてしまうことになりかねません。

 

ログインすることでサービスを利用する会員制のサイトやネットショップに行われることが多いのがパスワードリスト攻撃(またはアカウントリスト攻撃、リスト型攻撃とも)です。これは個人情報の流出などによって入手しておいたパスワードやIDを利用したうえでサイトへのログインを行い、データの漏洩や改ざんなどを行うものです。

 

パスワードやIDを入手しさえすれば赤の他人であっても簡単にアクセスし、サービスを利用できる。このネットサービスの盲点をついた非常にシンプルなサイバー攻撃ですが、その威力は絶大です。悪意を持って他人のアカウントで多額の買い物をしてその人に大きな被害をもたらすといったことができてしまいます。

ブルートフォースアタックによる脆弱性とは?

同じようなパターンとしてブルートフォースアタックという手法もあります。「総当たり攻撃」とも呼ばれますが、ログイン画面でかたっぱしからパスワードを試したうえでアクセスを試みる手法です。時間と手間がかかる方法ですが、その気になればできてしまう恐ろしい面も持ち合わせています。

 

悪質性の高いものではサーバーに大きな負荷をかける通信を複数の端末からひたすら送り続ける「DDoS攻撃」という種類もあります。負荷をかけることで攻撃対象のサーバーがダウンしたり、動きが遅くなる、セッションの不具合が生じるといったトラブルが生じます。攻撃対象に対してかなり悪意を持ったうえで行われる攻撃といえるでしょう。

 

これらには脆弱性というよりもこうした攻撃をブロックできるDDoSソリューションなどの専門的な対策が必要になってきます。

 

このように非常に大規模なレベルで仕掛けられるものから、個人レベルで被害がもたらされるものまで、サイバー攻撃といってもさまざまな種類があります。

 

これまで挙げてきた種類でも見てきたように、それぞれの攻撃にはよく行われるターゲットがあります。ですからセキュリティ対策を施す場合には自分のサイトがどのような攻撃にさらされやすいのかをよく見極めたうえで適切な対策・環境を選択していく必要も出てくるのです。

脆弱性対策にも取捨選択が求められる時代に

ただお金と労力をかければ万全なセキュリティ環境を整えられるというわけにはいかない時代となっています。より巧妙化していく手口に対して備えるためにもピンポイントな対策、必要な対策にしっかりと時間とお金をかける取捨選択が求められる時代になっているともいえるでしょう。

 

セキュリティソフトやSSLの導入といった基本的な対策はもちろん、クラウド型WAFなどの選択肢も踏まえながら検討していくようにしたいものです。(2020年現在)

サイバー攻撃を可視化・遮断する「攻撃遮断くん」

クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード
  • 累計12,000サイトの導入実績 多数の事例から、導入までの経緯と抱えていた課題の解決方法をご紹介