Webサイトを狙ったサイバー攻撃の種類とその対策
近年、Webサイトを狙ったサイバー攻撃が増えています。とくに増えているのが、中小企業のホームページなど、セキュリティの弱いサイトを狙った攻撃です。
こうした攻撃の主な目的は、Webサイトで収集している個人情報の入手です。たとえば会員情報などを不正に取得し、悪用しようと攻撃者は考えています。
個人情報を扱っていないからと言って安心できません。企業のホームページが攻撃の踏み台にされ、知らないうちにサイバー攻撃の加害者となってしまうこともあります。
今回はWebサイトを狙ったサイバー攻撃の種類とその対策を解説していきます。
攻撃の入り口・セキュリティホール
Webサイトを狙った攻撃の入り口となるのが、セキュリティホールです。
セキュリティホールとは、OSやソフトウェアの開発段階で発生しているセキュリティ上の弱点のことです。開発者は製品リリース前に様々な検証を実施していますが、全てのセキュリティホールを見つけるのは難しいのが現状です。その隙をついて、攻撃者は攻撃を仕掛けてきます。
とくにOSやソフトウェアなどで、脆弱性やセキュリティホールが発見されてから、具体的な対策がされるまでの期間を狙ったゼロデイ攻撃には細心の注意を払わなければなりません。
Webサイトのセキュリティを高めるには、このセキュリティホールをふさぐことが肝心です。
ゼロデイ攻撃については、下記の記事をご参照ください。
https://ssaits.jp/promapedia/method/zero-day.htmlWebサイトを狙った攻撃の種類
Webサイトを狙った攻撃として代表的なものを紹介します。
SQLインジェクション
SQLインジェクションは、Webサイトのデータベースを狙った攻撃です。
攻撃者は不正なSQL文によって、データベースを操作し、Webサイトで管理されている個人情報を盗みます。オンライン決済や、オンラインショッピングなどを利用するWebサイトが標的となることの多い攻撃です。
OSコマンドインジェクション
OSコマンドインジェクションは、Webサイトのアプリケーションを狙った攻撃です。
攻撃者はOSを不正に操作し、情報を抜き出したり、ファイルの改ざんを行ったりします。OSコマンドインジェクションによって、他のWebサイトへの攻撃の踏み台にされてしまう場合もあります。
クロスサイトスクリプティング
クロスサイトスクリプティングは、SNSなどの動的なWebサイトにある入力フォームを狙った攻撃です。
攻撃者は、メールやSNS、掲示板を通して、ユーザーに罠のリンクを送信します。送られてきたリンクをクリックすることで、別のWebページに移動させられ、悪意のあるスクリプトが、ユーザーのPC上で実行されます。これにより、個人情報が漏洩したり、偽のWebサイトに誘導されたりしてしまいます。
LDAPインジェクション
LDAPインジェクションは、Webサイトのディレクトリを狙った攻撃です。LDAPは、ディレクトリサービスに接続するために使用する通信プロトコルのひとつです。
攻撃者は、IDやパスワードなどのパラメータに文字を差し込み、LDAP認証を突破し、情報を抜き出します。
パスワードリスト攻撃
パスワードリスト攻撃は、悪意のある第三者が、何らかの方法で手に入れてリスト化したIDとパスワードを利用して、Webサイトへ不正にログインする攻撃です。アカウントリスト攻撃、リスト型ハッキングと呼ばれることもあります。
ユーザーID・パスワードの使いまわしによって攻撃の標的になることがあります。
ブルートフォースアタック
パスワードリスト攻撃と似ている攻撃が、ブルートフォースアタックです。
ブルートフォースアタックでは、パスワードに使われると予想される文字を総当たりに当てはめていく方法です。ログイン試行回数が多くなるため、パスワードリスト攻撃に比べて、不正アクセスの検出が容易です。
DoS攻撃
Dos攻撃は、Webサイトのサーバーを狙った攻撃です。
攻撃者はWebサイトに大量のトラフィックを連続的に送ることで、サーバーのCPUやメモリの圧迫を引き起こし、サーバーをダウンさせます。サーバーがダウンすることにより、Webサイトが閲覧できなくなったり、サイトの遅延が起きたりします。
DDoS攻撃
DoS攻撃と似ている攻撃がDDoS攻撃です。
大量のトラフィックを送り、サーバーをダウンする手法は同じですが、DDoS攻撃の場合は、複数のコンピューターから攻撃を仕掛けます。攻撃に使用されるのは、ボットウイルスと呼ばれるマルウェアに感染した機器です。普段使用している機器が知らないうちにボットウイルスに感染し、攻撃に加担してしまう可能性があります。
Webサイトを狙った攻撃への対策
Webサイトを狙った攻撃への対策方法をいくつか紹介します。
様々な攻撃に対応するためには、これらを組み合わせて総合的なセキュリティ対策が必要です。
OSやアプリケーションを最新の状態にアップデートする
Webサイトの脆弱性を放置しないために、最新のパッチをインストールし、常に最新の状態にアップデートすることが大切です。
セキュリティ対策ソフトの導入
パッチ未公開のセキュリティホールを狙った攻撃には、セキュリティ対策ソフトの導入が有効です。
ファイアウォールの導入
ファイアウォールは、事前に決めたルールに基づいて通信の許可、拒否を制御します。通信ルールから外れるような攻撃を防ぐことができます。
WAFの導入
WAFはWebアプリケーション、Webサイトへのサイバー攻撃に特化したセキュリティ製品です。
SQLインジェクションやクロスサイトスクリプティングの対策として有効です。
WAFについては下記の記事をご参照ください。
Web改ざん検知の利用
Web改ざん検知は、定期的にWebサイトをチェックし、Webサイトが改ざんされていないか確認するサービスです。画像や文字の見た目による判断や、マルウェアの埋め込みなどを速やかに検知し、改ざん前の状態に自動で復旧します。
SSLの利用
SSLは、インターネット上でやり取りされる情報を暗号化する仕組みのひとつです。
SSLを利用して通信することで、第三者によって通信の中身を覗くことが難しくなります。