サイバー攻撃の脅威はメディアなどでも頻繁に取り上げられており、その対策方法についても目にしたり耳にしたりする機会は多い。しかし、そうした脅威の実態や、理想論ではなく現実解としての対策方法となると、有益な情報は簡単には見つからない──なかなか語られることのないサイバー攻撃の真相や現実的なセキュリティ対策法について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション「マイナビニュース WEBセキュリティセミナー あの不正アクセスはなぜ起きたのか? セキュリティ専門家が事件の裏側を徹底討論」)が12月5日に開催される。

三銃士が登壇する「WEBセキュリティセミナー」(12月5日(木) 虎ノ門)の参加申し込みはこちらから(参加費無料)

今年9月に東京と大阪で開催され好評を博したセミナーの追加公演となる今回もまた、“セキュリティ三銃士”が盛りだくさんのオフレコ話とともにWebサイト攻撃の裏側で起きていることや現実的な対策方法について議論を繰り広げるはずだ。ここではまずパネルディスカッションの"前哨戦"として、彼らに、Webサイト攻撃の最新動向を踏まえて意見をぶつけ合ってもらった。本番さながらに議論が白熱したこの特別座談会の模様を、3回に渡ってお届けしたい。

安易なプラグイン追加は危険!

前回のセミナー開催からわずか2か月ほどの間にも、新たなサイバー攻撃が世間を騒がせている。そこで、最近のWebサイト攻撃の中でも特に注意すべき脅威について、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、インターネットイニシアティブ セキュリティ情報統括室、根岸征史氏、HASHコンサルティング 代表取締役 徳丸浩氏──おなじみのセキュリティ三銃士たちに話合ってもらった。

左からインターネットイニシアティブ セキュリティ情報統括室 根岸征史氏、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、HASHコンサルティング 代表取締役 徳丸浩氏

──最近のWebサイト攻撃で特に気になることは何でしょうか?

CMS、それも本体でなくプラグインの脆弱性を突いた攻撃を懸念しているという辻氏

辻氏:CMSがよく狙われるなあと思いますね。現在、事実上の“CMS御三家”はWordPress、MovableType、Joomla!だと思うのですが、それぞれ「サイト改ざん」されてしまう脆弱性が潜んでいます。

特に注意したいのが、プラグインの脆弱性についてですね。ここ数ヶ月のWebサイト攻撃の事例を見ていても、WordPressのプラグインの脆弱性を突いた攻撃が圧倒的に多いんですよ。例えば、プラグイン側にSQLインジェクションにかかわる脆弱性があるとかで、これは別にWordPressに限ったことではなく、他のCMSでも同じです。

ここで問題なのは、プラグインは自由に作成して配付できてしまうことです。それぞれのCMSについてはかなりきちんと管理されているので例え脆弱性が発見されたとしてもすぐに修正がなされます。だけど、プラグインだとアップグレードするかどうかも作成者の意思にかかっていますので、脆弱性に気付かずに放置されてしまうこともしばしばあるんです。なので、国内でもCMSのプラグインの脆弱性が発見されるより、攻撃コードが出まわるほうが先行してしまうといった事態が非常に多いんですね。なかには聞いたことがないようなプラグインもあるので、すべての脆弱性を確認するのは事実上不可能と言えるでしょう。

便利である一方で、脆弱性というリスクがプラグインにはある事を意識する必要があると根岸氏

根岸氏:個々のプラグインの脆弱性ぐらいではメディアも大々的に取り上げず、あまり知られることもないですからね。ただ、プラグイン毎の脆弱性を突いた攻撃すべてを防ぐことは不可能でも、攻撃パターンを解析することである程度はソリューションによって防ぐことはできるでしょう。

いずれにせよ、「安易にプラグインを入れていると痛い目にあうぞ」といった意識を持つことは必要でしょうね。

徳丸氏:サーバーではなくクライアント側の話になってしまいますが、よく検証せずにプラグインを導入することの危険性についてはブラウザでも同じですよね。

セキュリティ格差社会は広がっている

徳丸氏:CMSのプラグインの脆弱性を突いたWebサイト攻撃などで多く用いられているSQLインジェクションについて言えば、大手企業には被害例がほとんどなくて、中小など規模の小さな企業が被害を受けることが多い点が気になりますね。

同じ攻撃であっても、被害を受ける企業とそうでない企業の差が生まれる「セキュリティ格差社会」が広がっていると話す徳丸氏

根岸氏:SQLインジェクションはしっかりと対策をしていれば比較的防ぎやすい攻撃なので、さすがに最近は大きな企業での被害はほとんど聞かなくなりましたね。

辻氏:予算が少ないところは、「なんとかしなきゃいけない」とは思いつつも、なかなか具体的に動き出せないんですよね。

根岸氏:WAFを導入することでほぼ防御できるんですけどね。実際、被害事例全体に占める割合ではSQLインジェクションは依然として多いですから、対策を検討して欲しいところです。

辻氏:大きな企業でも、それまでWebサイトで商品を売っていなかった百貨店などで、突貫工事でサイトを構築した結果、穴ができてしまっているところも多いので、そうした企業も注意が必要でしょうね。

──まだまだ議論は続いたが、本番となるパネルディスカッションの第1部では、「"オフレコ話"が盛りだくさん! Webサイト攻撃の裏側で起きていること」というテーマで、その場でしか語れないWebサイト攻撃の真相が明らかにされる予定だ。最新の脅威の実情とその最適な解決策を知るためにも、ぜひ会場に足を運んでみてはいかがだろうか。