Webサイトの個人情報漏えい、WAFで対策はできるのか

「サイバー攻撃により個人情報が漏えいした」というニュースを目にすることは珍しくなくなりました。商品の購入、動画・音楽の視聴や予約などはWeb上で簡単に行う事ができるようになり、Webサービスがあることで私たちの暮らしはとても便利になりました。そんな中、Webサービスを利用するには個人情報の入力を求められることが多々あります。サイバー攻撃が増加する中で、これらの個人情報が漏えいする事件が多発しています。個人情報が流出してしまうことで、思いもしない被害が個人や企業に発生しています。
今回はインターネット経由での情報漏えい被害状況と対策についてご紹介します。

NPO日本ネットワークセキュリティ協会が公表した「2016年情報セキュリティインシデントに関する調査報告書」によると、2014年以降の情報漏えい件数が減少傾向にあることがわかります。
2014年度は情報漏えいの多くは「紙媒体」「USB等可搬記録媒体」からでしたが、2016年には4分の1まで減少しています。一方で「インターネット」からの情報漏えい件数は横ばいで推移しています。今後もクラウドサービスが普及するにつれて「紙媒体」「USB等可搬記録媒体」などからの情報漏えい件数は減少し、インターネット経由での情報漏えい件数は増加していくと予想できます。

漏えい経路別インシデント件数(経年)

紙媒体からの情報漏えい件数が一番多いにも関わらず、「漏えい媒体・経路(人数)」のグラフをみてみると、インターネット経由での情報漏えい人数が全体の8割を以上であることがわかります。インターネット経由での情報漏えいは、一度に数万や数十万の個人情報が漏えいするため、情報漏えい件数が100件程でも大量の情報が漏えいしていることがわかります。そのためWeb上での個人情報漏えいや情報の窃取は、一度の事件でも被害者数や被害金額が大きくなる可能性が高いものと言えるでしょう。

漏えい媒体・経路(人数)

図の引用：NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」2016年版

2016年に起きたインターネット経由で起きた情報漏えい事件の中で、大規模な情報漏えいの被害が出た事例をご紹介します。

2016年4月に株式会社J-WAVEのウェブサイトが不正アクセスを受け、サーバ上に保管されていたリスナーに関する個人情報が漏えいしました。

Webサイトで使用していた「ケータイキット for Movable Type」におけるOSコマンドインジェクションの脆弱性を悪用した攻撃が原因です。これによりサーバが遠隔操作され約64万件の個人情報が漏えいしました。攻撃発生時、「ケータイキット for Movable Type」の脆弱性は未知の脆弱性であり、ゼロデイ攻撃による被害を防ぐことは困難であったとされています。

参考：株式会社J-WAVE J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ

株式会社J-WAVEの情報漏えいと同時期の2016年4月、日本テレビ放送通信網株式会社では約42万件の個人情報が流出しました。ホームページの「ケータイキット」におけるOSコマンドインジェクションの脆弱性を悪用した攻撃が原因で、J-WAVEの事件と同じ脆弱性によるものです。

参考：日本テレビ放送網株式会社　個人情報不正アクセスによる調査報告書

情報漏えいは、なぜ起こってしまうのでしょうか。原因として多いものから見てみましょう。

情報漏えいの原因として最も多く報告されているのが「誤作動」です。

宛先を書き間違えたり、操作ボタンを間違えて押してしまうことによるメールやFAXの誤送信などがこれにあたります。

このような人為的な行為が原因で情報が漏えいしてしまわないためには、従業員一人ひとりがセキュリティに関する意識をしっかり持つことが重要です。

次に情報漏えいの原因となっているのが「紛失・置き忘れ」です。

持ち出し許可を得たPCや情報媒体を、持ち出し先や移動中の電車や飲食店など外部の場所に紛失、または置き忘れてしまうことによって情報漏えいが起こってしまいます。この「紛失・置き忘れ」は、大変高い割合で発生しています。

最近では、仕事にタブレット型のパソコンや、スマートフォンを使うことがとても多くなっていますので、より一層の注意が必要です。

悪意のある第三者が、主にネットワークを経由して不正にアクセスし、機密情報が外部に漏えいするケースも年々増えています。

マルウェアなどを伴う攻撃が多く、その攻撃方法は年々高度に、種類も多くなってきています。このような「不正アクセス」への対策としては、「ウイルス対策ソフトを導入する」などの基本的なセキュリティ対策が重要になります。

では、具体的に情報漏洩が起こらないようにするにはどうすれば良いのでしょうか。
対策としては、大きく2つに分けられます。

操作ミスや管理ミス・不備などで起こってしまう情報漏えいは、普段からセキュリティへの意識を高く持つことが重要です。

すべての情報に関して、情報の閲覧・持ち出し・保存先等をしっかり管理して、容易に持ち出せないように、そして持ち出しても活用できないような仕組みを作りましょう。そして会社全体でセキュリティ教育をしっかり行って、社員全員にセキュリティに関する意識づけを行いましょう。

外部からのサイバー攻撃のレベル、種類、頻度が年々上昇する中、セキュリティ対策のためにシステムやソフトの導入をすることは、もはや必須です。

条件に合わせて信頼できるソフトをしっかり選ぶこと、また常に最新の状態に更新して、新たな攻撃に備えることも重要です。

ネットワーク経由での情報漏えいを防ぐには、WAFが有効な対策方法の一つです。
WAFは脆弱性を悪用した攻撃を防ぐセキュリティサービスです。J-WAVEや日本テレビ放送網におけるOSコマンドインジェクションの脆弱性を悪用した攻撃などもWAFを導入することで防ぐことが可能です。
以前であれば専用の機器やスキルが必要で、WAFはコストが高いという点で導入をしぶる企業も少なくありませんでした。しかし使いやすく、低価格で利用できるクラウド型が登場したことで、セキュリティ対策として評価が高くなっています。

クラウド型WAF「攻撃遮断くん」は、WebサイトやWebサーバへのあらゆるサイバー攻撃を防ぐことができます。SQLインジェクションやOSコマンドインジェクション、DDoS攻撃などのサイバー攻撃を一切の手間を掛けること無く防ぐことが可能です。WAFの運用は不要なため、専任の技術者不在の場合でも導入可能です。

今回ご紹介した事例のように、インターネット経由での情報漏えいは紙媒体などとは異なり大規模な被害へと繋がることがあります。WAFを導入していることで、インターネット経由でのリスクを減らすことができます。もしもWAFを未導入の場合は、ぜひこの機会にご検討ください。

クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/
（2017/9/5 執筆、2020/2/25修正・加筆）