サイバー攻撃とは悪意のある第三者や集団によって、個人や組織を対象に金銭の窃取、情報資産の流出、サービス停止等を目的として行われる攻撃になります。
インターネットの普及により、買い物や申し込み、口座取引等、多くの個人情報がWebサイト上で扱われるようになりました。利用者にとって便利なサービスが増える一方で、残念ながら攻撃者にとっても目的を達成するための選択肢が増える形となっています。その中でもセキュリティの甘いサービスは格好の獲物となり、個人、企業、官公庁問わず無差別に攻撃するようなケースも見られています。本記事ではWebサイトのセキュリティという観点でサイバー攻撃とその対策方法について解説していきます。
Webサイトのサイバー攻撃の目的
サイバー攻撃を行う目的は、攻撃者によって異なります。近年では攻撃者の低年齢化が進んでおり、愉快犯的な犯行や自身の技術のアピールといった自己顕示欲を満たす目的のものが増えています。インターネットを通じてたくさんの情報を入手しやすくなり、攻撃に用いられるツールもどんどん簡単になっていることが影響していると考えられます。もちろん、金銭目的のものや特定の組織の機密情報を狙った組織的犯罪は依然として多い傾向にあります。
さらにはDX推進やCOVID-19対策としての在宅勤務の普及などを背景として、便利なWebサービスがたくさん生まれてきています。こうしたサービスが用意しているWebサイトは、前述したように攻撃者視点で個人情報や機密情報の宝庫になるので、Webサイトを狙った攻撃は依然として増加傾向にあります。
Webサイトの代表的なサイバー攻撃パターン
それでは、具体的にWebサイトを狙った攻撃にはどういったものが存在するのか、代表的なWebサイトへの攻撃について解説していきます。
不正ログイン
アクセス権限のない悪意を持った第三者がシステムやサービスに不正にログインすることになります。他人のパスワードやID情報を盗み、その情報を基にログインを試みます。またシステムの脆弱性を利用した不正ログインを行うケースもあります。
SQLインジェクション
データベースのSQLクエリのパラメータとなる入力に、特殊な文字列を挿入(インジェクション)して、Webサイトの提供者が本来意図しない不正なSQLクエリを実行させる攻撃です。自分以外のサイト利用者の情報やシステム内部の情報を、盗まれたり改ざんされたりする可能性があります。
OSコマンドインジェクション
外部からOSのコマンド実行を行い、サーバー内部の重要なファイルの漏洩、削除、不正なプログラムのインストール等を狙った攻撃です。
クロスサイトスクリプティング
悪意のあるスクリプト(簡易的なプログラミング言語)がユーザーのWebブラウザ上で実行されてしまうことで、認証情報等の情報が攻撃者に取得されてしまう攻撃です。
クロスサイトリクエストフォージェリ
攻撃者が用意した罠サイトへユーザーを誘導して偽のコンテンツを閲覧させることにより、ユーザーが他のサイトで入手したセッション情報などを盗み取る攻撃です。さらには、盗んだセッション情報を使ってユーザーの意思とは関係なく商品を購入されたり、悪質なコメントを投稿されたりする可能性もあります。
DDoS攻撃
分散型サービス拒否攻撃と呼ばれるものになります。Webサイトやサーバーに負荷をかけてダウンさせる事でサービスを妨害する攻撃です。この攻撃を受けると外部からのアクセスが不可能な状態に陥り、サービスが利用出来なくなってしまいます。
サイバー攻撃の対策 脆弱性診断とWAFが有効
ここまでは、Webサイトへのサイバー攻撃について解説してきました。ここからはその対策について解説をしていきます。Webサイトへのサイバー攻撃に対しては、脆弱性診断とWAF(Web Application Firewall)が有効的な対策だと言われています。
1、脆弱性診断
Webサイトの利用者同様、リモートから診断対象のWebサーバーに実際にアクセスをしたうえで、攻撃者の観点でセキュリティ上の問題点(情報漏洩、情報の改ざん、サービスの停止、といった被害を実際に受ける可能性のある箇所)を指摘するサービスです。とくにホワイトハッカーに代表されるような人による手動診断の実施は、不正アクセスの原因となるシステム設計上の問題点の指摘も可能です。
2、WAF(Web Application Firewall)
WAFはその名の通り、Webアプリケーションの脆弱性をついた攻撃に対する専用のファイアウォールです。Webサイトの前段に配置し、脆弱性を悪用した攻撃を検出・遮断する対策方法になります。日々の監視・運用が難しい場合や定期的な脆弱性診断の実施が難しい場合におすすめの方法になります。
まとめ
今回は「 Webアプリケーションを狙ったサイバー攻撃とセキュリティ対策」と題して、ご紹介してまいりました。中でも、WAFサービスはSQLインジェクションやクロスサイトスクリプティング等の脆弱性を狙ったサイバー攻撃の他、DDoS攻撃にも対応しております。Webサイトを狙ったサイバー攻撃全般への対策として非常に有効な方法です。ぜひWAFについて、もっと深く学び、いろいろと調べて見ることをオススメします。 当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。