なりすましや偽装APなど脅威が蔓延
最近のサイバー攻撃事件で目立つのが、Webサイトの改ざんやなりすましによる被害である。そうした深刻な脅威の動向は、大きく4つの種類に分けられる。
まず1つ目が、Webサイトのコンテンツのなりすましと、その延長線上にあるフィッシング詐欺である。日本では、今年夏の参議院選挙で、いわゆる「ネット選挙」が解禁されたことを受けて、各政党や議員の公式サイトで改ざんやなりすましへの対策の見直しが急がれた。攻撃者によって偽のサイトが立ち上げられ、そこに間違ったメッセージが記されたりしたら、選挙への悪影響が予想されるからである。
またフィッシング詐欺については今さら説明するまでもないかもしれないが、実際の企業等を装った偽の電子メールやリンクから、サイト訪問者を偽のサイトへと誘導し、ID・パスワードやクレジットカード番号、氏名、住所などの個人情報を摂取するものである。摂取された情報は、最近騒がれているパスワードリスト攻撃(アカウントリスト攻撃)にも悪用されるおそれがあるため、従来よりもその脅威が増大していると言っていいだろう。
実際の企業等を装った偽の電子メールやリンクから、サイト訪問者を偽のサイトに誘導し、ID・パスワードやクレジットカード番号、氏名、住所などの個人情報を詐取するフィッシング詐欺。「顔」が見えないインターネットでは、通信相手が「本物」か確かめる方法が必要である |
2つ目は、Webサイトそのものではなくサイトへの通信経路で盗聴や改ざんを行う、中間者攻撃と呼ばれる手法だ。その仕組みは、公衆Wi-Fiのアクセスポイントと同じ名前(SSID)のアクセスポイントを立ちあげて、当事者に気づかれないように通信内容を盗聴・改ざんするというものだ。最近ではスマートフォンなどの普及により、公衆Wi-Fiであっても、あまり意識せずに利用するケースが増えている。このため、サイトを運営する側が、通信経路をいかに暗号化を施すか考える必要があるのだ。
同じSSIDのAP(アクセスポイント)を立ち上げ、正規の通信の間に“割り込んで”、当事者に気付かれないように通信内容を盗聴・改ざんする手法もある |
3つ目となるのが、ドライブバイダウンロードと呼ばれる攻撃手法である。これは、Webサーバに悪意のあるJavaスクリプト等を挿入し、サイト訪問者に気付かれないようにマルウェアを自動的にダウンロードさせるというものだ。攻撃を受けると、訪問者の個人情報漏えいに加えて、Webサイト側にも被害が及ぶ。mysql.comのような世界的に有名なサイトもこの攻撃手法による被害にあっており、早急な対策が叫ばれている。
そして4つ目が、ここ数年の大規模な情報漏えい事件で広く知られるようになったSQLインジェクション攻撃だ。フォームにSQL構文を直接入力し、開発者が意図していない動作をWebアプリケーションに行わせるこの攻撃により、権限がなくてもデータベース内のデータを摂取することが可能となるため、被害を受けた時のダメージは計り知れない。