2018年、JPCERTコーディネーションセンターに寄せられたインシデント情報によれば、1年間で発生したWebサイト改ざんの件数は1,055件です。昨年度と比較すると、約47%減少しています。ただし、決して油断はできない状況です。
2017年のWebサイト改ざん件数の急激な増加は、2月に発覚したWord Pressの脆弱性を悪用した大規模改ざんの発生があったことが関係しており、単に2018年のインシデント件数が減少したととらえることはできません。
Webサイト運営者はサイバー攻撃に備え、改ざんや情報漏えいといったインシデントを起こさないよう、安全なWebサイトの運営に努める必要があります。
そこで本稿では、Webサイトを対象としたサイバー攻撃をはじめ、危険性の高いサイバー攻撃やその他の攻撃など、Webサイトセキュリティにかかわるすべての人に知っておいていただきたいサイバー攻撃の種類をご紹介します。
Webサイトの脆弱性を狙ったサイバー攻撃
SQLインジェクション
SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがある。
クロスサイトスクリプティング
脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる。Cookieのセッション情報が盗まれるなどの恐れがある。
OSコマンドインジェクション
OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがある。
ディレクトリトラバーサル
ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする。本来公開を意図していないファイルへの参照・実行の恐れがある。
近年、危険性が高いと言われるサイバー攻撃
ランサムウェア
2017年5月、世界中で猛威をふるった「WannaCry」がまだ記憶に新しいところです。ランサムウェアは感染した端末をロックし、解除のために身代金を要求します。それに応じなければロックは解除されず、端末内のファイルも永久的に閲覧できません。OSやソフトウェアを最新状態にするための自動更新や万一の事態に備えて、定期的なデータバックアップを取得することが大切です。
標的型攻撃
狙いを定めた特定組織の情報をターゲットとして行われる攻撃の一種で、メールにウイルスを添付して送りつける手法が多用されています。近年では非常に巧妙化された攻撃により、大手企業や政府関連機関も被害に遭っています。2015年に発生した日本年金機構の、125万人分の個人情報漏えい事件は同種の攻撃が原因になっています。
APT(Advanced Persistent Threat)
標的型攻撃の一種で、さらに「高度(Advanced)で、持続的(Persistent)な脅威(Threat)」を意味します。ステルス性のサイバー攻撃という性質もあり、APTを受けている企業のほとんどはその存在に気付かず、外部機関からの指摘等によって発覚するのが大半です。あらゆる手段を用いて社内ネットワークに潜入し、長期に渡って継続的に攻撃を繰り返します。
その他のサイバー攻撃
マルウェア感染
インターネット黎明期以前から存在するサイバー攻撃がマルウェア感染です。ネット回線がまだ整備されていない時代では、フロッピーディスク等を通じてマルウェアに感染する端末が多発しました。自己増殖するワームや長期間潜伏するトロイの木馬など、危険性の高いマルウェアは無数に存在し、こうしている今でも新種マルウェアが誕生しています。
DDoS攻撃
WebサーバーやWebアプリケーションに対して過剰な負荷をかけることで、サービスの正常稼働を妨害し、停止状態に追い込むものです。多くの場合は、複数の無関係なサーバーやパソコンに侵入し、一斉に攻撃を仕掛けます。そのため、攻撃元を特定するのが困難であり、対処が難しいのが特徴です。政治目的で実施されることも多いでしょう。
ブルートフォース攻撃
「総当たり攻撃」と呼ばれるパスワードを破る攻撃手法の一つです。ユーザーのアカウントとパスワードを解読するため、考えられる全てのパターンを試していくことで認証を突破します。推測されやすいユーザー名や簡単なパスワードを設定していると、ブルートフォース攻撃により不正ログインを許す危険性が非常に高くなります。
パスワードリスト攻撃
ブルートフォース攻撃同様に認証を突破することを目的としたサイバー攻撃ですが、その手法は異なり、Webサイトなどから窃取したアカウントとパスワードを使用して、他のWebサイトへの不正ログインを試みる攻撃です。複数のWebサイトやサービスで同一IDとパスワードを利用しているユーザーが多いため、それを悪用します。
Webサイトのセキュリティを強化するには?
以上のように、警戒すべきサイバー攻撃は数多く存在し、まずは各攻撃の特徴などを理解することが大切です。Webサイトの運営においては、脆弱性対策がとても重要です。では、どのようにしてWebサイトのセキュリティを強化すればよいのでしょうか?
その一つの答えが「WAF(Web Application Firewall)」です。WAFは、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ製品です。ブラックリストとホワイトリスト、両方の防御方式を上手く活用することでクライアントからWebサーバーへの通信を検査し、不正アクセスを検出・遮断します。
Webアプリケーションの脆弱性有無とは独立したかたちで攻撃を防御することができ、様々な脅威からWebサイトを守ってくれるセキュリティ製品です。本稿で紹介したサイバー攻撃以外にも、Webサイトを対象とした攻撃はいくつもあります。それらの脅威からWebサイトを守り、個人情報と会社の信頼を守るためにも、ぜひWAFの導入をご検討ください。
参考資料
『JPCERT/CC インシデント報告対応レポート [2018 年 10 月 1 日 ~ 2018 年 12 月 31 日]』
『JPCERT/CC インシデント報告対応レポート[2017 年 10 月 1 日 ~ 2017 年 12 月 31 日]』
- カテゴリ:
- 動向
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら