氏名、性別、年齢、住所、電話番号、クレジットカードの情報。インターネットの利便性が向上するたびに、これらの個人情報をネット上で扱うことが多くなっています。
キャッシュレス決済の普及により、ウェブサービスのアカウントとクレジットカードの情報を紐づけている方が多数存在します。しかし、利便性が大きく向上した一方で、不正アクセスによる個人情報の漏えいなどの事件・事故が後を絶たないという実情もあります。
そこで本稿では、ウェブサイトを経由した個人情報漏洩の対策として、どのような経路で個人情報が流出するのか?警戒すべきサイバー攻撃は何か?などをご紹介します。
ウェブサイト経由の個人情報漏洩はなぜ起こるのか?
私たちの生活の一部となったインターネットの活用とサイバー攻撃の脅威は隣りあわせです。攻撃者の魔の手は日常に潜んでおり、個人情報が盗まれるなどの被害がいつ起きてもおかしくはない状況です。
私たちが日頃から利用しているウェブを通じた各種サービスでは、ウェブアプリケーションが活用されています。ウェブサイト上でサービスを提供するために作られたウェブアプリケーションが、私たち利用者からの要求に応じて様々なコンテンツを提供してくれているのです。
しかし、この利便性や仕組みに目をつける攻撃者が存在するのも事実で、攻撃者は様々なサイバー攻撃を仕掛けてきます。
では、ウェブサイトを経由した個人情報の漏洩はなぜ起こるのでしょうか?大きな要因は2つあります。「ウェブアプリケーションの脆弱性悪用」と「アカウントへの不正アクセス」です。
ウェブアプリケーションの構築には、オープンソースソフトウェア(OSS)を活用することが多くなっています。OSSはソースコードが開示されており、ライセンスにしたがえば無償でインストールして利用することができます。
OSSはそのプロジェクトに関わる開発者によって日々改良が加えられ、バージョンアップされていきますが、完璧なものは存在しません。バージョンアップの過程でプログラムのバグによる動作不良が生じてしまったり、中にはセキュリティ上の欠陥となる脆弱性が発見されることもあります。攻撃者はこの脆弱性を悪用することで、ウェブサイトから私たちの個人情報を盗み出そうと企んでいるのです。
もう1つの原因である「アカウントへの不正アクセス」とは、本来はユーザー本人しか利用できないアカウントを第三者が不正に利用するというものです。
このケースでは、アカウントとパスワードの組み合わせを総当たりで試行するパターンと、すでに漏洩したアカウントとパスワード情報により正攻法で不正アクセスするパターンがあります。
特に警戒が必要なのは後者です。複数のウェブサービスを利用するのが当たり前になった現代、異なるウェブサービスで同じパスワードを設定すると一部で発生した被害がまた別の不正アクセスにつながるという危険があります。
導入事例
WAF製品/SiteGuard(サイトガード)シリーズの導入事例をご紹介しています。
ウェブサイトを狙ったサイバー攻撃はこれだけある
SQLインジェクション、クロスサイトスクリプティング、DDoS攻撃、いずれもウェブサイトを攻撃する際に用いられます。ここでは、ウェブサイトを狙ったサイバー攻撃の代表的な手口をご紹介します。
1.SQLインジェクション
SQL文を含んだ入力データを送信してデータベースに不正にアクセスする攻撃です。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがあります。
関連記事:SQLインジェクション
2.OSコマンドインジェクション
OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする攻撃です。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがあります。
関連記事:OSコマンドインジェクション
3.ディレクトリトラバーサル
ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする攻撃です。本来公開を意図していないファイルの参照・実行の恐れがあります。
関連記事:ディレクトリトラバーサル
4.クロスサイトスクリプティング(XSS)
攻撃者がWebサイトに罠(偽のリンクなど)を仕掛け、その罠にかかるとウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる攻撃です。Cookieのセッション情報が盗まれるなどの恐れがあります。
関連記事:クロスサイトスクリプティング(XSS)
5.クロスサイトリクエストフォージェリ(CSRF)
対象ウェブサイトの投稿や登録といった重要な機能について、他のサイトから本来の手順を経ずにクライアントに実行させる攻撃です。ユーザーがウェブサービスにログインした状態で、攻撃者が用意した不正サイトにアクセスすることで不正な投稿やアカウント情報の更新などが行われます。
また、過去にはこの攻撃で小学校襲撃予告などがインターネット上の掲示板に投稿され、ユーザーが誤認逮捕されたということがありました。
6.DDoS攻撃
攻撃対象となるウェブサイトに対して、ボットネットなどにより複数のコンピュータから大量のトラフィックやリクエストを送信し、リソースを枯渇させることでサービスを停止に追い込むサイバー攻撃です。
DDoS攻撃のみで情報が盗まれることはありませんが、サービス停止などで攻撃を受けた企業が混乱している最中に別のサイバー攻撃を受け、情報漏えいなどの二次被害に繋がる場合もあります。
7.ドライブバイダウンロード
悪意あるウェブサイトまたは、改ざんされたウェブサイトにアクセスするだけでウイルスなどのマルウェアをダウンロードさせ、感染させる攻撃です。
2010年に大流行したガンブラー(Gumblar)によって、ドライブバイダウンロードが広く知られるようになりました。
8.ブルートフォースアタック(総当たり攻撃)
アカウントとパスワードを総当たりで入力し、認証を突破しようとするアカウントの不正アクセスを狙った攻撃です。機械的に実行され、推測されやすいパスワードはごくわずかな時間で解析される恐れがあります。
9.リスト型攻撃
ウェブサイトに対する他のサイバー攻撃などにより、不正に入手したアカウントとパスワードを使い、ほかのウェブサイトでの不正アクセスを試みるサイバー攻撃です。
複数のウェウサービスで同一のアカウントとパスワードを利用しているユーザーが多いことから注意が必要であり、近年話題になることが多くなっています。
関連記事:リスト型攻撃とは?その影響と対策
10.水飲み場攻撃(標的型攻撃)
特定のターゲットを絞り、そのターゲットがよく閲覧するウェブサイトを改ざんし、ドライブバイダウンロードを仕掛ける攻撃です。標的型攻撃の一種であり、普段から利用している正規のウェブサイト経由で攻撃が実行されることから防御は困難です。
WAFによる個人情報漏えい対策
Webサイトを経由した個人情報漏えいの対策として、「WAF(Web Application Firewall:ウェブアプリケーション・ァイアウォール)」をご紹介します。
WAFは、上記で説明した様々なサイバー攻撃からウェブサイトを保護するセキュリティ製品です。ウェブサイトに対するアクセスを一つ一つ検査して、不正アクセスがないかをチェックします。そして脅威を検出した場合には、そのアクセスをブロックすることでウェブサイトを保護します。
EGセキュアソリューションズ株式会社が開発・販売する純国産WAF「SiteGuardシリーズ」は、Webアプリケーションの脆弱性を悪用する様々な攻撃に対し高い防御性能とユーザビリティの両立を実現した純国産のWAF製品です。
クラウド型「SiteGuard Cloud Edition」、ホスト型「SiteGuard Server Edition」、ゲートウェイ型「SiteGuard Proxy Edition」をご用意しており、お客様の様々なご要件に合わせて導入することができます。
Webアプリケーションのセキュリティ対策として、WAFの導入をご検討の際はぜひ当社までご相談ください。
関連記事:WAFって何?導入のメリットとは
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
