サイバー攻撃による被害が珍しくなくなった昨今、情報漏えいの事件をニュースのヘッドラインで目にすることも多くなりました。セキュリティ被害の増加はもちろんのこと、本格的なIoT社会の到来に向けたセキュリティ需要や、2015年12月に経済産業省からサイバーセキュリティ経営ガイドラインが公表されたことも、サイバーセキュリティの取り組みを加速させています。今やセキュリティ対策は企業経営にとって非常に重要な位置づけとなっています。
とはいえセキュリティの分野は極めて専門性が高く、また日進月歩の世界ですので情報のキャッチアップも一苦労です。これらの背景を踏まえて本連載では、これからセキュリティ対策に取り組む企業へ向けて、担当者が最低限押さえておきたい基礎知識を取り上げたいと思います。第1回は、Webサイトのセキュリティについてお伝えします。
攻撃手法は進化しても、押さえるポイントは3つ
サイバー攻撃と聞いて思い浮かぶのは、「情報漏えい」ではないでしょうか。企業にとって最も避けたいのも、やはりインパクトの強いクレジットカード情報や個人情報の流出です。そして、その入口として狙われているのがWebサイトになります。IPA(情報処理推進機構)がリリースしている「情報セキュリティ10大脅威」のレポートにも、毎年必ずWebサイトへの攻撃が上位にランクインしていますので、その被害の多さがイメージできるかと思います。
Webサイトへの主要な攻撃は3つに大別されます。逆にいえば、この3つの対策を施せば情報漏えいの脅威を遠ざけられるのです。
1. 脆弱性を突いた攻撃
2. 認証突破
3. サービス妨害
1. 脆弱性を突いた攻撃
最も厄介で気をつけたいのが脆弱性を突いた攻撃です。WordPressのプラグインに脆弱性が多いことは有名ですが、それ以外にもWebサイトを更新しやすいようにCMSプラットフォームを利用しているWebサイトは多くあります。攻撃者はこのプラットフォームに存在するプログラムの欠陥(脆弱性)を突いてきます。既にソフトウェアのアップデート版がリリースされているにも関わらず、パッチを当てずにいると、攻撃を受ける恐れがあるため、WAFを導入していない場合には、常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行わなければなりません。
昔のゲームソフトの話になりますが、ゲームボーイ版「ポケモン」に、Aボタン・Bボタン・セレクトボタンを駆使してあるコマンドを入力すると、レベル100になるという裏ワザ(バグ)がありました。あれもソフトの脆弱性を突いた攻撃といえます。このようにソフトウェア脆弱性の問題は昔からあって、今後もなくなることはないでしょう。
2. 認証突破
コーポレートサイトやプロダクトサイト、オウンドメディアなど、1つの企業には大抵1つ以上のWebサイトがありますが、その中でも狙われるのが「入力フォーム」です。決して新しい攻撃手法ではないですが、OSコマンドインジェクションやSQLインジェクションなど、プログラムに影響を与えるパラメータにOSへの命令文をフォームから送信してサーバ自体を乗っ取ってしまったり、DBを操作するSQL文を紛れ込ませて、遠隔操作で情報を抜き取ろうとするといった方法で攻撃を仕掛けてきます。
つい最近も、この攻撃によって大手メディアやラジオ局といったメディアなどから多くの個人情報が流出してしまいました。フォームでなくとも、ログインなどの認証画面を狙って考えうる全ての組み合わせを入力するブルートフォースアタック(総当り攻撃)も常套手段です。「ユーザー名:admin パスワード:123abc」などの簡単な組み合わせは即座に突破されてしまうでしょう。
そもそも個人情報をサーバに保管していないというサイトもあるかと思います。しかし、マルウェアなどによりパソコンが乗っ取られていたり、FTPサーバの管理権限をコントロールされてしまっていた場合、ソースを書き換えてユーザーをフィッシングサイトに誘導したり、フォームに悪意のあるJavascriptを埋め込んで、ユーザーが入力した内容を攻撃者が事前に用意したサーバへ送り情報を収集するという手口も増加しています。サイト管理者としては、Webサイトを改ざんされてしまい被害者となるわけですが、そのサイトを利用したユーザーに被害を与えてしまうため、意図せずに加害者になってしまう可能性があるのです。
実際に保険会社や自動車メーカー、大手通販サイトなど、被害を受けた大手サイトも多く存在し、あるアパレルメーカーでは1カ月近くにわたりサイトを閉鎖する事態となりました。サーバの入れ替えなども行った結果、他社製品に検索上位も奪われてしまい、これらの損害額は1億円を上回るとも言われています。1億円なんて大げさと思うかもしれませんが、例えば20万人の顧客にお詫びとして500円のギフトカードを配っただけでも単純計算で1億円です。これに事後の処理や対策費用、会見を行うなどとなれば対応コストはさらにかさみますので、とても現実的な数字です。
また、通販サイトに対する消費者の意識調査(KPMG調べ)によれば、Webサイトがサイバー攻撃で被害に遭った場合、然るべき対策がとられていたとしても利用者の約2割はそのサイトでの買い物を止めると言われており、サイバー攻撃による被害は売上げにダイレクトに影響することがわかります。
3. サービス妨害
情報漏えい以外にも、サーバに過剰な負荷を与えて機能停止へ追い込むDDoS攻撃による被害も増えています。通販サイトをはじめWebサービスを展開する企業には「ダウンタイム=販売機会の損失」となるため、致命打となる攻撃です。DDoS攻撃の平均サイズは約1Gbpsであり、攻撃の約80%は1Gbps未満の攻撃であると言われています。(出典:Arbor Networks Inc. 2016年上半期のグローバルDDoS攻撃データ)
1Gbpsの攻撃であればほとんどのWebサイトをダウンさせるのに十分な大きさですので、DDoS攻撃の対策を行う際は「1Gbpsに耐えうるかどうか」がポイントになります。また、経済的なダメージを与える意図で、EDOS攻撃と呼ばれる攻撃もあります。これは、Webサービスなどで多く使われるクラウドサービスやサーバが利用量に応じて料金を支払う従量課金制が多いことを逆手に取った攻撃です。
外部からリクエストを大量に送りつけて意図的にトラフィックを増加させて契約者に多額の利用料を支払わせるように仕向けるのです。攻撃者にメリットがあるのかと思うかもしれませんが、攻撃者は金銭目的だけではなく、サービスの妨害目的でも攻撃をしかけてきます。
ここまで、Webサイトのセキュリティで押さえるべき3つのポイントと、主な攻撃手法や被害例をお伝えしました。これらの攻撃を仕掛けているのはどんな人物か?どうやって攻撃しているのか?と想像されるかもしれませんが、攻撃者もヒマではないため自動ツールを使用した攻撃が大半です。特定の企業に狙いを定めるよりも、手当たり次第に攻撃して、侵入できそうな場所から突破している、ということも重要なポイントとして覚えておきましょう。
また、ツールを利用していたとしても攻撃者の意図は確実に働いており、セキュリティ担当者が休暇に入るタイミングを狙っています。実際に弊社が調査した大型連休中のサイバー攻撃の傾向をみても、平時で1社あたり9000件ほどのサイバー攻撃が、ゴールデンウィーク期間中は約2.4の増加を確認しています。(出典:サイバーセキュリティレポート 大型連休中のサイバー攻撃に関する調査)
新しい攻撃手法が出たとしても、まずは大別した3分類のどこに別されるのかを把握することで、対策の方向性が見えてくるはずです。今後の連載では、実際にどんな対策を行ったらよいのか?また、万が一被害にあってしまったらまず何をすればよいのか?といった実務的な内容を取り上げたいと思います。
執筆者紹介
サイバーセキュリティクラウド マーケティング部
大手アパレルメーカーに入社後、店長として現場経験を積む。その後、外資系デベロッパーやWeb広告代理店、EC事業会社でのマーケティングを経て、現サイバーセキュリティクラウドのPR・マーケティングプロモーション戦略全般に携わる。好きな食べ物は「原宿餃子楼」の餃子。
川島 平