情報漏えい対策として求められるWebサイトのセキュリティ

 2020.04.01  2024.08.01

Webサイトは企業のビジネスプラットフォームとして大きく成長した半面、サイバー攻撃による情報漏えい被害というリスクもあります。

たとえWebサイトに個人情報を保持していなくとも、サイバー攻撃による改ざんを起点とした不正サイトへの誘導など、そこから情報漏えいが起きる可能性もあります。このため、Webサイトを運営しているすべての事業者にとってセキュリティ対策は必須です。

本稿では、JNSA(日本ネットワークセキュリティ協会)が発表している情報をもとに、情報漏えい対策として求められるWebサイトセキュリティについて解説します。

Webサイトにおける情報漏えいの実態

まずは、JNSAが発表している『2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)』から、2018年と2017年に発生した情報漏えいインシデントの比較表を抜粋します。

比較表を見ていただくと分かる通り、2017年から2018年にかけて情報漏えい事件は大きく拡大し、漏えいした個人情報の人数は41万人増、想定損害賠償総額は770億円も増しています。

次に、2018年の情報漏えいインシデントTOP10を確認してみましょう。情報漏えいインシデントとして最も多くなっているのが不正アクセスであり、かつ発生源として情報通信業が多くなっています。これは、Webサイトを経由した情報漏えい事件の多発を示していると考えられます。

情報漏えいの原因

では、情報漏えいインシデントはどのような原因で発生しているのでしょうか?こちらもJNSAのデータを参照にご紹介します。

最も多い原因は意外なことに「紛失・置き忘れ」「誤操作」といった人為的要因です。情報漏えいインシデントの多くは大規模なサイバー攻撃ばかりが注目されていますが、実は「紛失・置き忘れ」「誤操作」など人為的要因による情報漏えいが昔から多い傾向にあります。

そして、その次に「不正アクセス」が続き、情報漏えいの3大原因となっています。Webサイトの対策としては、設定ミスや誤った情報公開など、管理面の問題に注意するのはもちろんのこと、Webサイトを狙ったサイバー攻撃「不正アクセス」への警戒を怠ってはいけません。

Webサイトを狙ったサイバー攻撃の種類

Webサイトを狙ったサイバー攻撃は多種多様であり、ツールによって機械的に攻撃を試みるなど、技術力の高くないサイバー犯罪者でも広範に攻撃を実行できてしまうのが問題です。では、具体的にどのようなサイバー攻撃があるのでしょうか?

1. SQLインジェクション

ユーザーの個人情報などを管理するのに用いるデータベースを不正に操作する攻撃です。

データベースを操作するにはSQLという言語を使用しますが、入力フォームなどを備えるWebサイトにおいて、外部パラメータから不正にSQLを実行する攻撃文字列を実行することで、データベースに格納されているデータを参照したり、改ざんします。

この問題をSQLインジェクションの脆弱性と呼び、これを悪用する攻撃はSQLインジェクション攻撃と呼ばれています。大規模な情報漏えいインシデントにつながる恐れがあるため、注意すべき攻撃の一つとされています。

関連記事:WAFによるSQLインジェクション攻撃の防御 

2. OSコマンドインジェクション

Webサーバー上でOSコマンドを不正に実行する攻撃です。

Webアプリケーションで、シェルコマンド文字列を組み立てて実行している箇所がある場合、適切な実装がされていないと、外部からのパラメータ入力によって不正にコマンド文字列を送り込まれる恐れがあります。本来想定していない命令を外部からの入力で強制的に実行されてしまうため、SQLインジェクション同様に攻撃を受けた場合の被害が大きくなることがあります。

この問題をOSコマンドインジェクションの脆弱性と呼び、これを悪用した攻撃はOSコマンドインジェクション攻撃と呼ばれています

関連記事:WAFによるOSコマンドインジェクション攻撃の防御

3. ディレクトリトラバーサル

ディレクトリパスをさかのぼって公開を意図していないファイルに不正にアクセスする攻撃です。パストラバーサルと呼ばれることもあります。

パラメータにファイル名を指定するWebアプリケーションにおいて、ファイル名を指定する実装に不備があった場合、相対パス表記を用いて任意のファイルにアクセスされてしまいす。

結果として、本来公開を意図していないファイルへの参照・実行の恐れがあります。

関連記事:WAFによるディレクトリトラバーサル攻撃の防御

4. ブルートフォース攻撃・パスワードリスト攻撃

「総当たり攻撃」とも呼ばれ、ユーザーのアカウントIDとパスワードを解析するために、考えられるすべてのパターンを施行する攻撃です。他のサイバー攻撃とは違い強硬的に実施する性質があり、文字数が短いパスワードや固有名詞、辞書に載っている単語などをパスワードに設定していると簡単に不正アクセスを許してしまい、情報漏えいにつながります。

ブルートフォース攻撃同様に認証を突破することを目的としたサイバー攻撃として、窃取したアカウントとパスワードを使用し、不正ログインを試みるパスワードリスト攻撃があります。これは、複数のWebサイトやサービスで同一IDとパスワードを利用しているユーザーが多いため、それを悪用した攻撃です。

複雑なパスワードを利用するようにするだけでなく、携帯電話番号のSMSに認証コードを送信するなど、2段階認証の必要性が高まり、普及しています。

Webサイトを保護するためのセキュリティ対策

上記でご紹介したサイバー攻撃以外にも、Webサイトを狙った攻撃は多数存在しています。では、どのように対策すればよいのでしょうか?

Webサイトのセキュリティ対策としては、Webアプリケーションの脆弱性を悪用した不正アクセスを検出し、防御するWeb Application Firewall(ウェブアプリケーションファイアウォール)が有効です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。

WAF(Web Application Firewall)

WAFは、Webアプリケーションの脆弱性を悪用した攻撃の防御に特化したセキュリティ製品で、前述のSQLインジェクション攻撃などを効果的に検出、防御することでWebサイトを保護します。一般的なファイアウォールやIPS/IDSとは目的と機能が異なります。

HTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。

クレジットカードのセキュリティ基準であるPCI DSSへの準拠に活用できるセキュリティ製品としても注目されています。

関連記事:WAFとファイアウォール、IPSの違い

Webサイトを狙った危険なサイバー攻撃から皆さまのWebサイトを保護するためにも、WAF導入をぜひご検討ください。

WAFとは

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

詳細はこちら

RECENT POST「Webセキュリティ」の最新記事


Webセキュリティ

クロスサイトスクリプティング(XSS)とは?仕組みや対策を解説

Webセキュリティ

OWASP Top 10 2021 にみるWebアプリケーションのセキュリティリスク

Webセキュリティ

クロスサイトリクエストフォージェリ(CSRF)とは?被害と対策を解説

Webセキュリティ

Webアプリケーション脆弱性診断とは?

情報漏えい対策として求められるWebサイトのセキュリティ
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
ブログ無料購読
RANKING人気記事ランキング