皆さんはウェブサイトのセキュリティ対策をどの程度講じていますか?
セキュリティ対策を怠り、情報漏洩などの問題を起こした企業、団体に対する世間の評価は年々厳しくなっています。
テスト対策や法対策もそうですが、何かの対策を考える上で大切なのは、まず相手を知ることです。ということで、今回はウェブサイトにおけるサイバー攻撃を簡単にまとめてみました。
目次
クライアントに対する攻撃
クライアントに対する攻撃は、ウェブサイトを利用する利用者の行動を狙った攻撃を指します。
標的型攻撃
標的型攻撃は特定の組織や人物に向けてマルウェアを送りつけたり、マルウェアのあるウェブサイトに誘導することで、個人情報やパスワードなどの機密情報を取得する攻撃。メールの情報を書き換え、友人や上司になりすましてメールを送るケースなどもあります。
基本的な対策としては不審なメールは開封しない。メールに記載されている心当たりのないURLにはアクセスしないことです。
ブルートフォース攻撃
ブルートフォース攻撃は総当たり攻撃とも言われており、ユーザー名やパスワードをひたすら入力し、セキュリティを突破する手法です。単純なパスワードだと簡単に突破されてしまいます。
数字やアルファベットだけの8桁パスワードは数分で見破られてしまうという衝撃の結果が出ています。
パスワードリスト攻撃
パスワードリスト攻撃は、何らかの手法によりあらかじめ入手してリスト化したIDやパスワードを利用してWebサイトにアクセスを試み、不正にログインするサイバー攻撃です。ユーザーは覚えやすいように同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃が可能となります。
そのため、パスワードリスト攻撃の対策として有効なのは「パスワードの使いまわしをしない」ことです。
クライアント攻撃の対策
クライアント攻撃の対策としておすすめなのが「二要素認証」の機能を持たせることです。代表的な二要素認証は登録メールアドレスに一時的にログインが可能になるパスワードを送信し、正しい数値が入力された場合のみログインができる「ワンタイムパスワード」などがあります。銀行アプリのログイン時にも使われています。
また、パスワードも4桁ではなく12桁以上、大文字、小文字、数字、記号を含む、憶測されにくいパスワードを設定することが大切となります。
そのほかにも、ログインの失敗回数によって一定時間アクセスを制限する機能を持たせることで指定回数以上のログイン情報の入力を停止することもできます。
ウェブサイト(アプリケーション)に対する攻撃
ウェブサイトに対する攻撃とは、ウェブサイトのシステムが持つ脆弱性を狙ったものを指します。
SQLインジェクション
SQLインジェクションはウェブサイトに不正なSQL文を送ることでデータベースから情報を盗む攻撃です。
データベースにはウェブサイトの情報はもちろん、CMSのパスワードや会員サイトであった場合は会員の個人情報なども含まれています。ECサイトであればクレジットカードの情報なども含まれているでしょう。
もしこれらの情報が抜き取られてしまった場合、会社や店舗としての責任がかなり大きなものになります。
SQLインジェクションの対策としては、SQL文に対して「エスケープ処理」を行うことです。こちらも開発者に確認しましょう。
クロスサイトスクリプティング
クロスサイトスクリプティングもSQLインジェクションのようにウェブサイトの脆弱性を狙った攻撃です。
SQLインジェクションではデータベースに対して攻撃を行いますが、クロスサイトスクリプティングではウェブサイトなどにスクリプトを送り付けることで目的とは違う動作を起こします。
例えば、お問い合わせフォームなどの入力フォームにスクリプト文を記述して送信することでウェブサイトに誤作動を起こして情報を書き換えたり、ユーザー情報などの機密情報を取得する、またはアクセスした人を別の有害サイトへ転送することなどがあります。
対策としては、入力値制限して、長いスクリプトを入れられないようにしたり、サニタイジング(サニタイズ処理)を行いスクリプト文をただのテキストとして無害化する方法。また、WAFを導入することで対応が可能です。
サーバーに対する攻撃
サーバーに対する攻撃とは、クライアントやウェブサイトではなく、それらを格納しているサーバーを直接攻撃する方法です。
Dos攻撃
Dos攻撃はサーバーが処理しきれないほどのリクエストを大量に送り付ける攻撃です。単純な攻撃方法ですが、これによりサーバーの処理が追い付かずダウンしてしまったり、誤動作をしてしまう可能性があります。
Dos攻撃は単純であるがゆえに、防ぐのが難しい攻撃です。
理由はDos攻撃なのか一般のアクセスなのかがわからないため。Dos攻撃の対策としてはファイアーウォールを設定したり、サーバーにWAFを導入することで不審なアクセスを遮断することです。
まとめ
今回はウェブサイトに関連する攻撃の種類を紹介してみました。
ウェブサイトに対する攻撃はほとんどがターゲットを持ったものではありません。もちろん特定の組織を狙った犯行もありますが、規模の大小や利用者の数に限らず、全てのサイトが攻撃される可能性を持っています。
動機も金銭目的のものから、破壊活動を楽しむ愉快犯的なものまで多岐にわたります。
セキュリティのお話をすると「うちのサイトを攻撃するメリットがないので…」といわれることが多いのですがそんなことはありません。例えばバックドアと呼ばれる裏口を作りいつでも侵入できるようにして、関連するシステムへの侵入を試みたり、ブルートフォースやスパムメールなど他の攻撃をするための踏み台にされる可能性などがあります。
そのためセキュリティ対策はしっかりと行いましょう。