Webサイトの安全確認を3ステップで SiteLock

サイバー攻撃を受けたら何をするべきか


はじめに

個人事業主としてフリーランスのエンジニアをしている吉田です。

IT技術の進歩に従って、サイバー攻撃を行う側の持つ技術が進歩すれば、それに対する守りを行う側の技術も進歩する、その繰り返しを常に繰り返してきました。そのため、サイバー攻撃は年々、その巧妙さの度合いを増しています。

今回の記事では、2017年上半期に多かったサイバー攻撃の手法をいくつかご紹介します。また、それらの攻撃手法がどのような仕組みなのかに加え、攻撃への対策についてもご紹介いたします。

2017年上半期に多かったサイバー攻撃手法

1.SQLインジェクション

【内容】

SQLインジェクションとは、WebアプリケーションやWebサイトに対して、想定しないSQL文を実行させることによってデータベースへ不正な操作を行うという攻撃手法です。例えば、通常はユーザーがパスワードなどを入力する入力フォームに、代わりに不正操作を行うSQL文を入力しサーバー側で実行されることで、データベースにあるパスワードを全て削除するといった攻撃です。

【原因】

この攻撃によって被害が発生する原因としては、入力値に対して、本当に害のないコードなのかのチェックが不十分である点です。

【対策】

SQLインジェクションに対する短期的な対策としては、害のあるコードは実行しないよう、実装を修正することでしょう。しかし、害のある攻撃もたくさんあるため、その全てを防ぐことは難しいです。

そのため、根本的な対策としては、アプリケーション側の実装自体を変える必要があります。具体的には「エスケープ処理」を行い、SQL文に含まれる特別な意味を持った文字を、普通の文字に変換するのです。これによって不正なSQL文を実行させないようにします。

2.ブルートフォースアタック

【内容】

ブルートフォースアタックは日本語に訳すと「総当たり攻撃」で、暗号やパスワードを解読するときの手法のつです。”brute-force”には「を力づくで行う」という意味があり、パスワードなどを手当たり次第に試してみて合致するものを探します。

【原因】

ブルートフォースアタックの被害が起きる原因としては、パスワードが桁など短い場合でしょう。短ければ短いほど、また文字の種類が少なければ少ないほど、ブルートフォースアタックによってパスワードはたやすく解読されてしまいます。

例えば、数字4桁のパスワードは最大1万回のブルートフォースアタックで解読されてしまいます。一方、英数字8桁のパスワードは最大2兆8211億0990万7456回もの攻撃を行う必要があるのです。パスワードの長さを長く、文字の種類を増やすことの価値がイメージしやすいです。

【対策】

短期的な対策としては、ユーザーに対してパスワード設定時に注意を呼びかけることでしょう。例えば、「パスワード設定時は文字の英数字でお願いします。」などです。しかし、これだけですと、その呼びかけを守るユーザーと守らないユーザーが出てきますので、根本的対処のためには、サイトの仕様で一定以上の複雑さを持たないパスワードは設定できないようにする必要があります。

Webサイトによっては、定期的にパスワードを変更しなければならない仕様にすることで、対策を行っているところもあります。こういった細やかな対策も重要だと思います。

3.クロスサイトリクエストフォージェリCSRF

【内容】

クロスサイトリクエストフォージェリとは、WebサイトやWebアプリケーションにある脆弱性を利用しての攻撃を指します。

攻撃者はまず、ユーザーがアクセスする攻撃用ページを作成・用意します。ユーザーがそのページにアクセスすると、あらかじめ準備しておいた不正なリクエストを、攻撃対象となるサーバーに送信します。攻撃を受けたサーバーはその不正リクエストを処理して、ユーザーに対して意図しない処理をしてしまう、というわけです。

【原因】

この攻撃で被害が発生する原因としては、サイト外からのリクエストを処理してしまったからです。根本的解決のためには、これを禁止するように作りこむ必要があります。

【対策】

短期的な対策としては、ユーザーに対して、不審なEメールやサイト上にあるリンクを不用意クリックにしないようにセキュリティ啓蒙活動を行うことでしょう。

不審なメールは大概、迷惑メールフォルダに入るのですが、たまに迷惑メールフィルタに引っかからない場合もあります。そういったメールのタイトルが興味を引くものだと、ついクリックしてしまいがちです。セキュリティ啓蒙活動に加え、迷惑メールフィルタの状態確認とメンテナンスも必要でしょう。

4.クロスサイトスクリプティング(XSS)

【内容】

クロスサイトスクリプティング(以下、XSS)とは、HTMLだけで生成されているような静的なWebページではなく、ユーザーがアクセスしたタイミングで動的に生成されるWebページの脆弱性を狙った攻撃のことを指します。

攻撃者はXSSに対して脆弱性を持つサイトにユーザーを誘導し、そこで不正なスクリプトを実行させます。それによって不正なサイトに誘導されて情報を盗み取られたり、フィッシング詐欺に遭うなどして被害が広がるわけです。

【原因】

この攻撃で被害が起きる原因としては、XSSに対する対策ができていないことです。

【対策】

短期的な対策としては、CSRFと同様、ユーザーに対するセキュリティ啓蒙活動が挙げられるでしょう。また、ユーザーに最新のブラウザに更新してもらうことも有効です。

中長期的には、サーバー側でXSSに対する脆弱性を修正する必要があることに加え、Webアプリケーションを開発する初期段階から対策を意識することでしょう。また、セキュリティ対策を行う製品を導入するという手段もあります。

5.Webサイト改ざん

【内容】

今やWebサイトはどの企業も持っているものとなり、オンライン上での企業の顔とも呼べるものでしょう。その顔が改ざんされ、サイバー攻撃に悪用されるという事例が多数発生しています。

企業本来のサイトではなく、攻撃者の用意した偽造サイトにユーザーをアクセスさせ、マルウェアへ感染させるなどを行っています。最近ですと、銀行のオンラインバンクのWebサイトが偽造されたというニュースが話題になりました。

マルウェアに感染することでパスワードを盗まれてしまってはユーザーにとっては一大事ですね。しかもやっかいなことは、自分のサイトだけの被害では収まらず、攻撃の踏み台にされて他のサイトにまで被害が及んでしまうということです。

攻撃者になるつもりは全然ないのに、加害者にもなりえるのです。似たようなケースで、Facebookのアカウントを乗っ取られることで、知らないうちに友達に勝手にメッセージが送られていた、ということもよく聞きます。乗っ取られた側は何も悪意がなくとも、結果的には周囲に迷惑をかけてしまうわけです。

一般社団法人JPCERT コーディネーションセンターの調査によると、2016年1月6月においてWebサイト改ざんの発生数は約200600件/月の間で推移しています。

【原因】

改ざんの原因としては、WordPressやApache Struts2など公開サーバの脆弱性を狙ったものが挙げられます。

【対策】

こういったWebサイト改ざんに対する短期的な対策としては、公開サーバを提供している企業が公開する修正パッチを一早く適用することでしょう。Webサイトを攻撃者にさらす状態を分秒でも短くすることで攻撃のリスクを減らすことができます。

根本的解決のためには、上記でご紹介したSQLインジェクションやブルートフォースアタックなどに対処することを通して、Webサイト自体のセキュリティを向上させることです。

6.ランサムウェア

【内容】

ランサムウェアは「情報セキュリティ10大脅威 2017」のランキングでも2016年の7位から2位に上がるほど、脅威を増しています。

ランサムウェアとはマルウェアのつです。ランサムウェアに感染したパソコンをユーザーからみてロック状態にして使えなくする、ファイルを暗号化するなどして、解除する代わりにお金を要求してきます。この手口が近年増えています。

【原因】

ランサムウェアによる被害が広がる原因としては、Webサイトの改ざんがあります。

ランサムウェアに対する短期的な対策として有効なのはバックアップです。いくら重要なデータを奪われたとしても、バックアップしたデータから復元ができさえすればよいわけです。

【対策】

中長期的な対策として重要になるのは、バックアップの質を上げることです。ただ、一言で「バックアップが重要」と言っても、バックアップの中にもさらに重要な要素があります。それはどれくらい前の世代に戻れるのか、ともう1点はどこにバックアップするのかという点です。

サーバマシン全体をロックされる可能性のあるランサムウェア対策として、同じサーバ上にバックアップを取るのは賢明ではありません。ネットワークと切り離されたオフライン上か別ネットワークの遠隔マシンにバックアップを取る必要があります。

まとめ

今回は 2016年2017年上半期に多かったサイバー攻撃の手法を6つご紹介し、それぞれの攻撃によって被害が起きる原因と対策についてもご紹介しました。

サイバー攻撃は日々、変化がありますし、脆弱性も完全に無くなることはありません。サイバー攻撃を行う側とそれに対処する側の関係は永遠にイタチごっこでしょう。

ランサムウェアのように、攻撃者が攻撃道具を作りこむだけでなく、攻撃される側にアクションまで起こさせるというのは新しい流れです。セキュリティ攻撃が、人が介在しない無機質なものではなく、人の心理状態まで関心の範囲に含まれることで、サイバー攻撃を受ける側のセキュリティ意識もさらに求められる時代になっていきます。

企業のサイト管理を行う側は、企業の顔であるWebサイトを攻撃から守るという重大な責任があるわけです。常に最新情報をチェックし、攻撃に対する対策を打ち、攻撃されたときにも慌てることなく迅速に対応できる状態でいることが大事です。


執筆者プロフィール

吉田純
フリーランスエンジニア、ライター、教育ベンチャー企業共同経営者。
フリーとして、ツール制作やライティングなどを行う一方、認識技術を応用活用した次世代教育にも取り組んでいます。

SiteLockのプラン・料金を調べる