近年、様々な場面で「サイバー攻撃」という言葉を目や耳にします。今回はサイバー攻撃の攻撃対象や攻撃手法、攻撃を受けた場合に何が起こるのか、対策をするにはどうすればいいのか事例を交えて簡単にご紹介します。サイバー攻撃対策ご検討の入り口として頂ければ幸いです。
サイバー攻撃とは? 具体的な攻撃手法の例もご紹介
サイバー攻撃とは、悪意のある第三者によりネットワークを通じて行われる攻撃で、不正アクセスによる重要情報の窃取及び改ざん、システムのサービス停止などがあります。攻撃の目的としては金銭目的のものから、愉快犯や自己顕示欲のため技術力を見せつけることが目的など幅広くあります。攻撃対象としても特定の個人、企業が狙われるだけではなく、無差別に狙われるケースもあるため、組織の規模や業種を問わず、対策を実施することが望まれます。
一概にサイバー攻撃といってもその対象や手法は数多く存在します。実際、どのような手法でどのような対象に攻撃が行われているのでしょうか?
ここでは、サイバー攻撃を大きく組織内部のシステム利用者を狙った攻撃(OA環境への攻撃)と、外部公開されているシステムの脆弱性を悪用した攻撃(外部公開環境への攻撃)にわけて考えてみます。各環境への具体的な攻撃手法の例は以下のとおりです。
OA環境への攻撃(メール等)
- フィッシング:正規のサービスになりすまして、利用者からログイン情報等を盗み出す手法
- ランサムウェア:データの暗号化等を行い「人質」として、回復の為に身代金を要求する手法
など
外部公開環境(Webサーバ)への攻撃
- クロスサイトスクリプティング(XSS):攻撃対象サイトに悪質なスクリプト(簡易プログラム)を埋め込む攻撃
- SQLインジェクション:脆弱性を利用しデータベースの不正操作を行う攻撃
など
OA環境への攻撃は、攻撃を受けたユーザが、リンクのクリックや添付ファイルの実行等、なんらかのアクションを実行し、その結果、攻撃が成功するタイプのものが一般的です。
このような攻撃に対して、外部公開環境への攻撃があります。常時(多くは24時間365日)稼働しているシステムの脆弱性を悪用することで、即時に成功するタイプの攻撃が多く、常に攻撃を受ける状態であることを前提とした対策の実施が望まれます。
国立研究開発法人 情報通信研究機構による「NICTER観測レポート2022」の発表によると、外部公開環境への主な攻撃対象は以下の表の通りとなっており、様々な対象へ攻撃が行われていることが読み取れます。
今回は外部公開環境の中でも企業の事業活動で一般的に広く利用さているWebサービス(HTTP/HTTPS)に焦点をあてて、サイバー攻撃を受けた場合の影響や対策についてご紹介をしていきます。
サイバー攻撃を受けた場合に起こる事
サイバー攻撃を受けた場合、情報漏洩・改ざん・サービス停止などの被害が考えられます。
事業活動への影響としては、業務停止や損害賠償、機会損失などによる金銭的損失、監督官庁からの指導、ISMS/プライバシーマーク等の認証取り消し、それらに伴う社会的信用の低下などが考えられます。
以下の内容は昨年発生した外部公開環境へのサイバー攻撃の実例(一部)とその被害についてまとめたものです。
上記の例以外にもさまざまなサイバー攻撃が報告されており、一般社団法人 JPCERT コーディネーションセンター「JPCERT/CC インシデント 報告対応レポート」によると2021年4月から2022年3月にかけての1年間のコンピュータセキュリティインシデント件数は、34,939件とされています。
これらのコンピュータセキュリティインシデント全てが、Webサーバへの攻撃ではありません。しかし、業種を問わず多くの組織が運用しているWebサーバへの攻撃対策は、組織共通の課題と考えて良いのではないでしょうか。
Webサーバのリスク低減対策としてはアプリケーションの開発段階でおける、セキュアコーディング等により脆弱性を作りこまないことが重要です。しかし、開発の規模に応じて対応しきれないリスクが残ってしまうのも事実です。
弊社が2020年1月~2020年12月の間に実施したWebアプリケーション脆弱性診断結果の集計結果から、脆弱性が残った状態で運用されているWebサーバがあることがわかります。
弊社の脆弱性診断サービスでは、実現可能性と被害影響の大きさからリスクをHigh/Medium/Lowの3段階に分別し、検出傾向によりサイトの総合的な危険度を評価しています。危険度評価は以下の表の通りです。
総合危険度評価の集計結果は、以下のグラフの通りです。
調査対象の過半数となる52%で、顧客に被害が及ぶシステムの脆弱性が検出されました。これは 2サイトの内、およそ1サイトに危険な兆候が見つかったことになります。また、危険度Low まで含めると何らかの脆弱性が見つかったサイトは全体の84%にもなりました。
では実際にどのような脆弱性が検出されているのでしょうか。集計した結果は、以下のグラフの通りです。
サイバー攻撃で狙われることも多いインジェクション(XSSも含む)は上位3位以内に入ってきているのが現状です。いずれも既知の脆弱性であるにも関わらず検出されていることから、脆弱性が存在することを前提とした継続的なモニタリング等の対策が重要であると考えられます。
サイバー攻撃対策における、WAFの役割
これまでサイバー攻撃とは何なのか、受けた場合に起こることはどのようなものがあるのかについて解説してきました。ではどのような対策を講じればいいのでしょうか。
Webサービスにおける有効な対策は、セキュアコーディング・脆弱性診断・WAFなど複数存在します。セキュアコーディングは開発時、脆弱性診断はリリース前やサイト更新時など、そしてWAFは運用中に有効な対策といえます。これらはどれか一つを行えばいいというものではなく、それぞれの特性を活かした組み合わせにより、Webサービスのセキュリティレベルを高く維持することが望まれます。
まとめ
Webサービスは基本的にサービスの停止やアクセス制限を行うことが困難なため、アクセス制限以外の対策を行っていないと攻撃を受けることとなります。そして、最終的に取り返しのつかない事態にまで発展する可能性があります。その為、Webサービスへは複数の対策を組み合わせたセキュリティ対策が重要です。 当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。