総務省が公開している情報通信白書によると、NICTが運用している大規模サイバー攻撃観測網が2022年に観測したサイバー攻撃関連通信は約5,226億パケットで、2015年の約632億パケットと比較して8.3倍も増加しており、油断できない状況がわかります。
Webサイト運営者はサイバー攻撃に備え、改ざんや情報漏えいといったインシデントを起こさないよう、安全なWebサイトの運営に努める必要があります。
そこで本稿では、Webサイトを対象としたサイバー攻撃をはじめ、危険性の高いサイバー攻撃やその他の攻撃など、Webサイトセキュリティにかかわるすべての人に知っておいていただきたい主なサイバー攻撃の種類と特徴をご紹介します。
Webサイトの脆弱性を狙ったサイバー攻撃
SQLインジェクション
Webサイトの入力フォームなどからアプリケーションが想定しないSQL文を含んだ入力データを送信してデータベースに不正にアクセスを行います。
データベース内の個人情報などの機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがあります。
クロスサイトスクリプティング(XSS)
脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させます。
Cookieのセッション情報を盗まれて「なりすまし」に悪用されるなどの恐れがあります。
関連記事:クロスサイトスクリプティング(XSS)とは?仕組みや対策を解説
OSコマンドインジェクション
OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスを行います。
サーバー上で任意のコマンドが実行された結果、サーバー上のファイルの参照や改ざん、マルウェアのダウンロードなど大きな被害を受ける恐れがあります。
関連記事:WAFによるOSコマンドインジェクション攻撃の防御
ディレクトリトラバーサル
ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスを行います。本来公開を意図していないファイルへの参照・実行の恐れがあります。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
Webサイトの脆弱性を狙ったサイバー攻撃をはじめ、ソフトウェアなどに脆弱性が発見されてからベンダーによる脆弱性の対策が講じられる間に行われる攻撃をゼロデイ攻撃と呼びます。
ソフトウェアに脆弱性が発見された場合、ベンダーから修正パッチなどによる対策が行われますが、この対策が行われるまでは該当脆弱性においては無防備となるため、Webサーバーの停止といった対応などが必要になる場合もあります。
被害を受けないためにも、日ごろから脆弱性情報の収集や、WAFなどによる対策が重要になります。
危険性が高いサイバー攻撃
ランサムウェア
ランサムウェアは、マルウェアの一種です。マルウェアとは「malicious software(悪意あるソフトウェア)」の略語で、自己増殖するワームや長期間潜伏するトロイの木馬などさまざまな種類があります。
ランサムウェアは感染した端末をロックしたりデータを暗号化して使用できない状態にした上で、解除のために身代金を要求します。応じなければロックは解除されず、端末内のファイルも永久に閲覧できません。
ランサムウェアは「情報セキュリティの10大脅威 2024」でも2019年以降、9年連続ランキング入りしており、危険性が高いことがわかります。
2017年5月、世界中で猛威をふるった「WannaCry」などが有名です。
フィッシングサイト
フィッシングとは、メールやSMSなどで実在する金融機関や宅配業者などの偽サイト(フィッシングサイト)に誘導し、アカウント/パスワードやクレジットカード情報を入力させて詐取する手口です。
JPCERTコーディネーションセンターに寄せられたインシデント情報によれば、2023年10月1日~2023年12月31日に報告されたフィッシングサイトに分類されるインシデントは、全体の69%(4,473件)を占めています。2022年の同期間でも74%(6,266件)であり、危険性が高いことがわかります。
正規のWebサイトと同じデザインを盗用したり、実際のロゴを使用するため、ユーザーは本物のWebサイトだと見間違えてしまう場合があります。
標的型攻撃
狙いを定めた特定組織の情報をターゲットとして行われる攻撃で、主に業務関連のメールを装ってマルウェアを添付して送りつける手法が多用されています。
近年では非常に巧妙化された攻撃により、大手企業や政府関連機関も被害に遭っています。
また、APT攻撃(Advanced Persistent Threat)も標的型攻撃の一種で、ステルス性のサイバー攻撃という性質もあり、APTを受けている企業のほとんどはその存在に気付かず、外部機関からの指摘などによって発覚するのが大半です。あらゆる手段を用いて社内ネットワークに潜入し、長期に渡って継続的に攻撃を繰り返します。
その他のサイバー攻撃
DDoS攻撃
WebサーバーやWebアプリケーションに対して過剰な負荷をかけることで、サービスの正常稼働を妨害し、停止状態に追い込むものです。
多くの場合は、複数の無関係なサーバーやパソコンに侵入し、一斉に攻撃を仕掛けます。そのため、攻撃元を特定するのが困難であり、対処が難しいのが特徴です。政治目的で実施されることも多いでしょう。
なお、特定のサーバーやパソコン1台から攻撃を行うのはDoS攻撃と呼びます。
ブルートフォース攻撃
「総当たり攻撃」と呼ばれるパスワードを破る攻撃手法の一つです。ユーザーのアカウントとパスワードを解読するため、考えられる全てのパターンを試していくことで認証を突破します。
推測されやすいユーザー名や簡単なパスワードを設定していると、ブルートフォース攻撃により不正ログインを許す危険性が非常に高くなります。
パスワードリスト攻撃
ブルートフォース攻撃同様に認証を突破することを目的としたサイバー攻撃ですが、その手法は異なり、Webサイトなどから窃取したアカウントとパスワードを使用して、他のWebサイトへの不正ログインを試みる攻撃です。
複数のWebサイトやサービスで同一IDとパスワードを利用しているユーザーが多いため、それを悪用します。
Webサイトのセキュリティを強化するには?
以上のように、警戒すべきサイバー攻撃は数多く存在し、まずは各攻撃の特徴などを理解することが大切です。
Webサイトの運営においては、脆弱性対策がとても重要です。では、どのようにしてWebサイトのセキュリティを強化すればよいのでしょうか?
その一つの答えが「WAF(Web Application Firewall)」です。
WAFは、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ製品です。Webアプリケーションの脆弱性有無とは独立したかたちで攻撃を防御することができ、様々な脅威からWebサイトを守ってくれるセキュリティ製品で、「Webサイトの脆弱性を狙ったサイバー攻撃」で紹介したサイバー攻撃に対して有効です。
なお、本稿で紹介したサイバー攻撃以外にもWebサイトを対象とした攻撃はいくつもあります。
それらの脅威からWebサイトを守り、個人情報と会社の信頼を守るためにもWAFやIPS/IDSの導入、定期的な脆弱性診断、OS/ソフトウェアのアップデートの実施、メール/SMSでは不用意にURLや添付ファイルは開かない、送信元のメールアドレスや件名・本文に不自然な点がないか確認するといった対策が必要です。
参考資料:
『総務省 情報通信白書 令和5年版 サイバーセキュリティ上の脅威の増大』
『JPCERT/CC インシデント報告対応レポート[2023年10月1日~2023年12月31日]』
『JPCERT/CC インシデント報告対応レポート[2022年10月1日~2022年12月31日]』
『IPA 情報セキュリティ10大脅威 2024』
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら
