氏名、性別、年齢、住所、電話番号、クレジットカードの情報。インターネットの利便性が向上するたびに、これらの個人情報をネット上で扱うことが多くなっています。近年ではキャッシュレス決済の普及により、ウェブサービスのアカウントとクレジットカードの情報を紐づけている方が多数存在します。しかし、利便性が大きく向上した一方で、不正アクセスによる個人情報の漏えいなどの事件・事故が後を絶たないという実情もあります。
そこで本稿では、ウェブサイトを経由した個人情報漏洩の対策として、どのような経路で個人情報が流出するのか?警戒すべきサイバー攻撃は何か?などをご紹介します。
ウェブサイト経由の個人情報漏洩はなぜ起こるのか?
私たちの生活の一部となったインターネットの活用とサイバー攻撃の脅威は隣りあわせです。攻撃者の魔の手は日常に潜んでおり、個人情報が盗まれるなどの被害がいつ起きてもおかしくはない状況です。私たちが日頃から利用しているウェブを通じた各種サービスでは、ウェブアプリケーションが活用されています。ウェブサイト上でサービスを提供するために作られたウェブアプリケーションが、私たち利用者からの要求に応じた様々なコンテンツを提供してくれているのです。しかし、この利便性や仕組みに目をつける攻撃者が存在するのも事実で、攻撃者は様々なサイバー攻撃を仕掛けてきます。
では、ウェブサイトを経由した個人情報の漏洩はなぜ起こるのでしょうか?大きな要因は2つあります。「ウェブアプリケーションの脆弱性悪用」と「アカウントへの不正アクセス」です。
ウェブアプリケーションの構築には、オープンソースソフトウェア(OSS)を活用することが多くなっています。OSSはソースコードが開示されており、ライセンスにしたがえば無償でインストールして利用することができます。OSSはそのプロジェクトに関わる開発者によって日々改良が加えられ、バージョンアップされていきますが、完璧なものは存在しません。バージョンアップの過程でプログラムのバグによる動作不良が生じてしまったり、中にはセキュリティ上の欠陥となる脆弱性が発見されることもあります。攻撃者はこの脆弱性を悪用することで、ウェブサイトから私たちの個人情報を盗み出そうと企んでいるのです。
もう1つの原因である「アカウントへの不正アクセス」とは、本来はユーザー本人しか利用できないアカウントを第三者が不正に利用するというものです。このケースでは、アカウントとパスワードの組み合わせを総当たりで試行するパターンと、すでに漏洩したアカウントとパスワード情報により正攻法で不正アクセスされるパターンがあります。特に警戒が必要なのは後者です。複数のウェブサービスを利用するのが当たり前になった現代、異なるウェブサービスで同じパスワードを設定すると一部で発生した被害がまた別の不正アクセスにつながるという危険があります。
ウェブサイトを狙ったサイバー攻撃はこれだけある
SQLインジェクション、クロスサイトスクリプティング、DDoS攻撃、いずれもウェブサイトを攻撃する際に用いられます。ここでは、ウェブサイトを狙ったサイバー攻撃の代表的な手口をご紹介します。
1.SQLインジェクション
SQL文を含んだ入力データを送信してデータベースに不正にアクセスする攻撃です。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがあります。
関連記事:SQLインジェクション
2.OSコマンドインジェクション
OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする攻撃です。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがあります。
関連記事:OSコマンドインジェクション
3.ディレクトリトラバーサル
ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする攻撃です。本来公開を意図していないファイルへの参照・実行の恐れがあります。
関連記事:ディレクトリトラバーサル
4.クロスサイトスクリプティング(XSS)
脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる攻撃です。Cookieのセッション情報が盗まれるなどの恐れがあります。
関連記事:クロスサイトスクリプティング(XSS)
5.クロスサイトリクエストフォージェリ(CSRF)
対象ウェブサイトの投稿や登録といった重要な機能について、他のサイトから本来の手順を経ずにクライアントに実行させる攻撃です。ユーザーがウェブサービスにログインした状態で、攻撃者が用意した不正サイトにアクセスすることで不正な投稿などが行われます。過去、この攻撃で小学校襲撃予告などがインターネット上の掲示板に投稿され、ユーザーが誤認逮捕されたということがありました。
6.DDoS攻撃
攻撃対象となるウェブサイトに対して、ボットネットなどにより大量のトラフィックやリクエストを送信し、リソースを枯渇させることでサービスを停止に追い込むサイバー攻撃です。
7.ドライブバイダウンロード
悪意あるウェブサイトまたは、改ざんされたウェブサイトにアクセスするだけでウイルスなどのマルウェアをダウンロードさせ、感染させる攻撃です。2010年に大流行したガンブラー(Gumblar)によって、ドライブバイダウンロードが広く知られるようになりました。
8.ブルートフォースアタック(総当たり攻撃)
アカウントとパスワードを総当たりで入力し、認証を突破しようとするアカウントの不正アクセスを狙った攻撃です。機械的に実行され、パスワードによってはごくわずかな時間で解析される恐れがあります。
9.リスト型攻撃
ウェブサイトに対する他のサイバー攻撃などにより、不正に入手したアカウントとパスワードを使い、ほかのウェブサイトでの不正アクセスを試みるサイバー攻撃です。複数のウェウサービスで同一のアカウントとパスワードを利用しているユーザーが多いことから注意が必要であり、近年話題になることが多くなっています。
10.水飲み場攻撃(標的型攻撃)
特定のターゲットを絞り、そのターゲットがよく閲覧するウェブサイトを改ざんし、ドライブバイダウンロードを仕掛ける攻撃です。標的型攻撃の一種であり、普段から利用している正規のウェブサイト経由で攻撃が実行されることから防御は困難です。
ウェブサイトを守るWAFとは?
最後にご紹介するのは、上記にご紹介した様々なサイバー攻撃からウェブサイトを保護する「WAF(Web Application Firewall:ウェブアプリケーション・ァイアウォール)」と呼ばれるセキュリティ製品です。WAFはウェブサイトに対するアクセスを一つ一つ検査して、不正アクセスがないかをチェックします。そして脅威を検出した場合には、そのアクセスをブロックすることでウェブサイトを保護します。
ウェブサイトに対するセキュリティ対策を見直そうと感じた方は、ぜひWAF導入をご検討ください。
関連記事:WAFって何?導入のメリットとは
- カテゴリ:
- 入門