pc_img_02

テレワーク導入に悩みを抱える企業向けに、Cloudbric Remote Access Solution をリリース

新型コロナウイルスの影響で業務形態もまた急速な変化を重ねています。テレワークを導入する企業が急増していますが、セキュリティ上の懸念もあると考えられます。このような状況を鑑み、我々はオフィスから離れた場所でも安心して社内環境にアクセスできるようにセキュリティを強化した、「Cloudbric Remote Access Solution」をリリースしました。

 

新型コロナウイルスがもたらした働き方の変化

新型コロナウイルス感染症の感染拡大により全国に出された「緊急事態宣言」が5月25日に解除されました。しかし、 第二波の懸念もあり、完全な終息には相当な時間がかかりそうです。まだ安心できるレベルまでに至らず、依然としてその影響は我々に響いています。

コロナ過という言葉も出てきている中、新型コロナウイルスは人々の生き方を大きく変えるきっかけとなっています。多くの企業で導入しているテレワークもその例の一つであり、オンラインで業務に当たる割合が増え続けるだろうといっても過言ではありません。

日本では政府が長年テレワークを推進してきたもののあまり成果を得られなかったのですが、これを機にテレワークが働き方の一つとして定着すると考えられます。しかし、これまで日本でなかなか普及していなかったテレワークが急に広がった分、予想できなかったテレワークの加速化による懸念も存在します。

 

エンタープライズVPNの問題点

緊迫した状況での急な転換によりテレワーク導入を決めた企業の場合、セキュリティ対策が事前に十分に講じられていないため、常にハッキングや情報流出等の脅威にさらされているといっても過言ではありません。

テレワークにおけるセキュリティ対策として多くの企業がVPNサービスを取り入れています。確かに、VPNは数々のメリットを持つセキュリティ対策ですが、システムを構築するにはサーバへのゲートウェイ設置や、追加的なソフトウェア等のインストールが伴います。このような過程は、企業側にとっても、セキュリティ管理者にとっても、従業員側にとっても相当な手間を要するはずです。

 

簡単に安全なテレワーク環境を提供する Cloudbric Remote Access Solution

Cloudbric Remote Access Solutionは、クライアント側やサーバに対し、どのようなインストールも要求しません。従来のVPNサービスと違い、DNS変更など簡単な設定のみですぐ利用できるため、導入に対する負担を軽減させ、より効率的にテレワーク環境を構築することができます。

また、E2E暗号化を適用するなど、セキュリティを一層強化したリモートアクセスソリューションを提供します。ユーザが社内ネットワークに対し受送信する全てのトラフィックを暗号化するため、ハッカーの攻撃やあらゆるサイバー脅威を防げます。また、場所やデバイスに関係なく、予め承認されたユーザのみが企業の情報とデータにアクセスすることができます。

セキュリティ専門企業の技術とノウハウが詰まった「Cloudbric Remote Access Solution」は社内ネットワークにアクセスするすべての社員が安心して働けるように安全なテレワーク環境を作ります。

 

Cloudbric Remote Access Solutionを3ヶ月間無償で利用できます。

2020年10月7日まで無料お試しプロモーションを実施中です。今なら、「Cloudbric Remote Access Solution」の全ての機能を、無料でご利用いただけます。最も簡単で、万全のセキュリティ技術を適用し、さらに安全なテレワーク環境を実現する「Cloudbric Remote Access Solution」をこの機会に、ぜひお試しください。

image 2

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSS

 PCI DSS とは

pci dss
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。

PCI DSS規格の妥当性

pci dss NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。

 creditcard

 

核心はWebセキュリティとデータ暗号化

クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
security

PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら

【コラム】2016年、知っておくべきWeb脆弱性4大項目

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。
そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。
このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。
「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。
本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。
1.SQLインジェクション(SQL Injection)
Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。
この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。
WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。
悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。
例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。
しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。
2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。
SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。
2.クロスサイトスクリプティング(Cross Site Scripting:XSS)
ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。
ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。
実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。
一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。
実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。
WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。
つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。
セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。
ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。
3.ファイルインクルージョン(File Inclusion)
ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。
そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。
RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。
LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。
この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。
このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。
4.不完全な認証及びセッション管理(Broken Authentication and Session Management) 
Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。
悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。
この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。
そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。
ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。
まずは、行動を起こす このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。
ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。
開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。
まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。
脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。
しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。
企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。
セキュリティホールはしっかりと埋めておかなければならないのである。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら

【コラム】ハッカーはなぜ中小企業をターゲットにするのか

今回の話をする前に、「 ハッカー は大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、“ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの”といった考えに至るだろう。しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。
先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。
 

中小企業は狙われやすい

本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。
実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。
2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。
その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。
 

それでは、中小のセキュリティ対策は、どうすればいいのか。

ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。
 

中小企業のセキュリティ、どのようにアプローチすべきなのか。

まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。
次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。
そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。最近は、クラウド基盤WAFサービスもかなり出ているので、リーズナブルな価格でシンプルにセキュリティ対策を実施することも可能である。
まずは、一歩を踏み出してみることが大切だ。非常に合理的な理由で中小企業を狙ってくるハッカーらに立ち向かうべく、中小企業側でも、サイバーセキュリティの第一歩を踏み出していくよう願いたい。
 

hacker_cloudbric_180820

【コラム】ハッカー の6つの行動パターン

ハッカー は何の為にWebサイトをハッキングするのでしょう。

ハッカー
 インターネットが普及されていなかった頃のハッカーは、自分の能力を見せつける為にWebサイトをハッキングしました。
しかし、日常がWebで繋がっているとも言える昨今の社会のハッキングは、もっと巧妙に変化してその被害も大きくなりました。
例えば、数回のクリックで金融取引が出来るネットバンキングは、個人情報及び銀行取引情報のような重要情報が「ハッカー」によって流出され、莫大な被害が発生することもあります。

 ハッカーが欲しがる情報とその情報を手に入れる為の行動にはいくつかのパターンがあります。今回はハッカーの6つの行動パターンをご紹介致します。

任意コード実行
1.脆弱性スキャン

 脆弱性スキャンはその名称から分かるように、システム内部の脆弱性を探る為の手法です。
一般的には自社システムの弱点を調査して改善を行い、セキュリティを強化する行為であります。
しかし、ハッカーは同じ方法を用いて標的にしたシステムに侵入するための脆弱性を見つけ出します。
 ハッカーにとって脆弱性スキャンはハッキングを実行する為の情報収集であり、システム脆弱性を事前調査する行為であります。つまり、次の攻撃へのゲートウェイのようなものです。

脆弱性スキャン
2.サーバ運用妨害

 サーバ運用妨害は、Webサイトへのアクセスをブロックしてサービスを正常に運営出来ないよう妨害する事です。
サーバ運用妨害攻撃の中で最も知られているのは分散型サービス拒否攻撃(Distributed Denial of Service attack : DDoS)があります。
 DDoS攻撃をする為には、ハッカーが「ボットネット(Botnet)」と呼ばれるゾンビPCのネットワークを介しPC端末を制御下に置きます。
そうすると、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけてサーバをダウンさせ、Webサイトに接続エラーを起こします。

サーバ運用妨害
3.金銭的損害

 ハッカーによる攻撃の中で被害者が最も大きい打撃を受ける攻撃結果は金銭的損害です。
先に述べたように、インターネットの普及によってオンライン化された各種サービスは、便宜性を持つ同時に金銭的被害のリスクも持つ事になり、ハッカーのターゲットになります。

金銭的被害
4.個人情報漏洩

 金銭的被害と共に、個人情報漏洩はネット社会の課題であり社会全般的な問題になっています。
個人情報を手に入れたハッカーは他の者を装って管理者情報を取得した後、また他の攻撃をしたり奪取した情報を第三者に販売したりして2次被害者を増やしています。
このような個人情報漏洩で大きい波紋を引き起こした事件としては、不倫サイトであるアシュレイ・マディソンというサイトの会員情報をWeb上に露出させた事があります。

個人情報漏洩
5.Webサイト改ざん

 Webサイト全体または一部Webページに悪意を持って内容を変える行為をWebサイト改ざんといいます。
攻撃後にWebサイトを確認したら改ざんされた部分が把握できるので、ニュースになる同時に「人々の注目を浴びる攻撃として」とても効果が良いと言われています。
 また、政治的な理念によって、選挙などで有力候補者のWebサイトを改ざんする事例が多数発生しています。
このようなハッカーは自己顕示欲が強い傾向があります。最近米国ではこうしたハッキングに対して処罰するより「倫理的なハッカー」になるように’教育’を勧めています。

Webサイト改ざん

6.任意コード実行

 システム上に意図していなかったコードが実行される場合、かなりの注意が必要です。
ハッカーは悪意的なコードを挿入して命令を実行させる事で標的システムを制御します。
この為には任意のコードを実行させる為に先に述べた「脆弱性スキャン」のような事前調査を実施してそのシステムでセキュリティが最も脆弱な部分を狙って攻撃します。
次の攻撃の為の一歩だといえます。
任意コード実行
 時代の流れや技術の進歩などと共に、世の中の必要悪として「ハッカー」と「ハッキング」という単語が出てきました。
サイバー攻撃は莫大な被害を起こす事が出来て、無差別な攻撃も多いです。
“自分の事じゃなければ大丈夫”という考えで放置すると何も解決出来ません。
自社システムの脆弱性を定期的に把握してその弱点を補完出来るセキュリティソリューションを導入しなければいけません。

オランダの哲学者のエラスムスの「Prevention is better than cure(備えあれば憂いなし)」という言葉に従って、
ハッキングに備えた強力なセキュリティを事前に準備してください。

CloudbricのWAFはこちら
製品に関するお問合せはこちら