フィッシング

日本がフィッシング攻撃のグローバルターゲットに!その現状に対して緊急レポート

フィッシング対策協議会の報告によると、2020年12月のフィッシングは1,204 件増加し、過去最多となる32,171 件となりました。これは前月11月にはじめて3万件の大台を突破した3万967件からさらに1204件の増加となります。前年よりこちらでも度々警告してきたフィッシング詐欺の増加ですが、増加の一途をたどっています。しかもグローバルで11月に観測された攻撃キャンペーンの上位10件はいずれも日本を標的とするフィッシング攻撃です。それらはAmazon、楽天、三井住友カードの利用者をターゲットにし、中でもAmazonは1日あたり数十万件単位で送信されており、100万件を超える日も確認されています。今日本がフィッシング攻撃の標的にロックオンされているのは間違いなく、今回はその現状に警鐘を鳴らすと共に、企業がとり得る対策についてもお届けしたいと思います。

引用:フィッシング対策協議会

 

フィッシング攻撃とは

フィッシング(phishing)とは、インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為です。第三者がユーザをだましてオンラインから個人情報を入手しようと試みます。フィッシング サイトが要求する情報には次のようなものがあります。

  •  ユーザ名とパスワード
  • 社会保障番号
  • 銀行口座番号
  • PIN(暗証番号)
  • クレジット カード番号
  • 母親の旧姓
  • あなたの誕生日

金融機関や有名企業を装った電子メールに、「アカウント更新のため」などとして電子メール内に書かれているURLをクリックさせ、表示された偽のWebサイトに口座番号などのID、パスワードなどを入力させ、個人情報を取得するというものです。偽のWebサイトとはいえ、見た目はそっくりに作られているため、それが偽のWebサイトであるということに気づくのは困難です。

 

フィッシングの種類

スピアフィッシング

スピアフィッシングは、単純ですが危険性の高い、Eメール経由の標的型攻撃です。一見何の変哲もないメールの 本文にリンクが記載されていたり、ファイルが添付されていたりします。他のフィッシングとの違いは、普通のフィッシングは範囲や標的を絞らずに行うのに対し、スピアフィッシングは特定の企業の特定の人物や社員を標的にする点です。標的を絞り込むため精度が高まり、通常のフィッシングよりも悪質で危険度が高いと言われています。サイバー犯罪者は標的に関する情報を慎重に収集し、標的を引き付ける「餌」を用意します。うまく作られたスピアフィッシングメールは本物とほぼ見分けがつかないため、相手をより簡単に釣り上げられるのです。不特定多数に送り付けるスパムメールならメールを開く人も3%程度なのが、狙いを定めたスピアフィッシングでは、70%ものメールが開かれてしまうと言う統計もあります。

攻撃者は、基本的に実用的で小さなプログラム、Microsoft WordのマクロやJavaScriptコードを使って文書を攻撃の手段に変え、一般的なファイルに埋め込みます。その唯一の目的は、さらに有害なマルウェアを標的のコンピューターにダウンロードすることです。コンピューターに感染したマルウェアは、標的のネットワーク全体に拡散することもあれば、集められるだけの情報を集めまくることもあります。このようにして、マルウェア作成者は目的の情報を探し出します。こうした高度に入念に準備して行うスピアフィッシングでは、大企業の幹部、金融機関の職員等影響力のある人物に狙いを定めます。

スピアフィッシングのメールの大半は、ITの監督権限のある方、あるいはネットワークドメインのアドミニストレータを標的に送られます。ここを攻略すれば社内ネットワークにマルウェアを広げることができるからです。

スピアフィッシングの中でも、特に大きな獲物、すなわち最高経営責任者(CEO)などの経営幹部を狙うフィッシングのことを、ホエーリング(whaling)やホエールフィッシング(whale phishing)と呼びます。社外の取締役等はその会社の社員ではないことから、業務関連の連絡に個人用のメールアドレスを使っている場合も多く、ホエールフィッシングの標的に狙われやすいという指摘もあります。

新型コロナウイルスの感染拡大に便乗した、中国、北朝鮮、ロシアの攻撃グループによる複数のスピアフィッシング攻撃等も報告されています。

ラテラルフィッシングメール

ラテラルとは横方向を意味し、サイバー攻撃により内部ネットワークに不正侵入後、横方向への感染を拡大する行為を「ラテラルムーブメント」と呼びます。ラテラルフィッシングは、攻撃者が組織内のメールアカウントを何らかの手法で乗っ取り、その組織の正規アカウント(ドメイン)から、取引先等なんらかの横つながりにある企業に対し、フィッシングメールを送るものです。正規の内部アカウントからのメールなので、現在の攻撃検知の想定外のため、一般に検知が困難です。フィッシングが浸透してから、「偽ドメインからのメール」へ警戒を強める従業員も多くなりました。有名企業を騙るメール名でも、ドメインが異なれば不用意に開かいのは最早常識となりました。しかし、ラテラルフィッシングは、「正規ドメイン」からフィッシングメールが送付されて来るので、この常識が通用しません。

インターネットバンキングの被害にも

インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金されるケースがあります。フィッシング詐欺では、実際に存在する銀行やクレジットカード会社、ショッピングサイト、SNSなどを装った偽のメールやショートメッセージ(SMS)が送付され、本物のログインページを精巧に模した「偽のログインページ」に誘導されます。この偽のログインページで入力してしまったアカウント情報などは、悪意のある第3者に送信されます。この不正に盗まれた情報は、不正送金などのために悪用される恐れがあります。そしてIDやパスワードなどの情報を入力させて盗み取り、口座から預金を不正に引き出すのが典型的なものです。実際に送付されてくるメールでは、「システムトラブル」や「セキュリティ対策のため」などを装い、偽のログインページにアカウント情報を入力させるように巧みに誘導する文面になっています。フィッシングで偽サイトに誘導されている場合は、URLなどを確認することで、正規のサイトであるかどうか確認することが可能です。

 

企業に影響のあるフィッシング被害

なりすまし被害

自社がフィッシングのなりすましにあうケースが想定されます。例えばECサイトの場合、対象サイトは売上減だけではなく、サイトの信頼回復に時間がかかるとの報告もあります。一見しただけではニセモノと見分けがつかないサイトが多いこと、またネットショップ側になりすましたメールでフィッシングサイトへ誘導されることもあります。

そこで企業としては入手したいのが『SSLサーバー証明書』です。SSLサーバー証明書は『https://』で始まるサイトの暗号化だけでなく、第三者のなりすましによる偽サイトを防ぐためにも役に立ちます。 ただし、SSLサーバー証明書にはランクがあり、中には信頼できない機関によって発行されるものも存在するため注意が必要です。 最上位の証明であるEV(Extended Validation)SSL証明書であれば、認証基準に基づいた実在確認をするため、非常に高い信頼性が期待できます。

Webページが改ざん被害

またSQLインジェクションではWebページが改ざんされ、フィッシングサイトへ訪問者を誘導されることもあります。あるいは、SQLインジェクションを利用してサーバー上のファイルを書き換えることでWebページを改ざんされることもあります。この場合、訪問者をフィッシングサイトに誘導したり、ウィルスに感染させたりといった被害が予想されます。
他にもロスサイトスクリプティング(Cross Site Scripting、XSS)によってお問い合わせフォームに悪意のあるスクリプト(JavaScriptなど)を入力して、ホームページを改ざんする攻撃も存在します。埋め込んだスクリプトを利用して、訪問者のcookie(クッキー)情報を盗み取り、各種サービスのログインID・パスワードを盗みとります。
このようなケースの場合、実際は自社が被害者であるにもかかわらず、加害者として扱われてしまうことになります。クロスサイトスクリプティングによる情報流出が発生すると、甚大なクレームが発生し、会社の社会的な信頼も失われてしまいます。

 

さいごに

SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を防御するには、防ぐ有効な手段としてWAFが注目されています。WAFの大きなメリットは、ホームページに予期していない脆弱性が潜んでいたとしても、攻撃パターンを読み取ってアタックを未然に防いでくれる点です。また、脆弱性を修正されるまでのタイムラグにゼロデイ攻撃を受けつづけるリスクも減少します。WAFを導入することで、ホームページのセキュリティが格段に向上します。

Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

Cloudbric WAF+

カード情報漏えい

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 その2

前回、ECサイトが受ける不正アクセス攻撃による「個人情報漏えい」のリスクについてご紹介しました。2回目となる今回はもうひとつのリスク、「クレジットカードの不正利用」について解説していきたいと思います。ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行う必要があります。

 

クレジットカード決済で不正利用が起こる原因

クレジットカードは、現代における生活の必需アイテムになっています。クレジットカードがあれば、手持ちの現金がなくても実店舗で買い物できますし、ネット通販でも手軽に決済できます。とても便利なものですが、クレジットカードは悪意ある第三者によって不正利用されてしまうリスクがあることも心得ておかなければなりません。そして近年、ECサイトが不正アクセスを受け、顧客情報の他に、クレジットカード情報が漏えいする事件が相次いでいます。

日本クレジット協会の発表によると、2018年のクレジットカード不正利用被害額は235.4億円、2019年は上半期だけで137億円となっています。金額も増加していますが、比率がそれ以上に増加していて、クレジットカードの持ち主が意図しない不正利用がECサイトなどで多発していると言えます。クレジットカード決済で不正利用が起こる原因とその手口は、以下のものがあげられます。

フィッシング

フィッシングとは、金融機関などの有名企業を詐称したメールを送り付け、本文のURLをクリックさせることで偽サイトに誘導し、不正にIDとパスワードなどを詐取する詐欺行為のことです。設定変更や機能追加を行うためとしてメール本文のURLをクリックさせ、本物とそっくりのフィッシングサイトに誘導し、ID、パスワード、口座番号などを入力させ、これらの情報を搾取することを目的としています。近頃よく見られる手法に、Office 365のようなクラウドアプリケーションのログイン認証情報を盗み出すためにも使われます。ハッカーは、自分のOffice 365アカウントにログインして、プラットフォームへのアクセスの再取得、共有ファイルの回復、アカウント情報の更新など実行するように促すメールをユーザーに送信します。

フィッシングの一種であるスピアフィッシングと呼ばれる攻撃手法もあります。フィッシングは不特定多数の人へ行われるのに対し、スピアフィッシングは特定の標的を狙って行われます。フィッシングは大量配信攻撃であり、比較的広範囲に罠を仕掛けます。スピアフィッシング攻撃は槍(spear)を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に危険な攻撃です。メールによるスピアフィッシング攻撃は、日本では「標的型攻撃メール」とも称されます。スピアフィッシング攻撃は、事前に情報収集を行った結果を元に標的に狙いを定めて攻撃を行うため、精度が高いという特徴を持ちます。

スキミング

「スキミング」というのは、クレジットカードの情報を不正に入手して、まったく同じ偽造カード(クローンカード)を作って不正利用する犯罪のことです。クレジットカードそのものを盗むのではなく、「スキマー」と呼ばれる装置を使って、クレジットカードの磁気ストライプに書き込まれている情報のみを読み取るため、自分が被害者であることに気がつきにくいという特徴があります。
このスキミングがさらに進化したのがオンラインスキミングです。オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。オンラインスキミングでは偽決済ページヘの誘導を行ったり、不正者への情報送信を行ったりします。こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

なりすまし

「なりすまし」とは、流出した、もしくは盗み取ったカード情報を使って、第三者が本人になりすまして、クレジットカードを不正利用する手口です。上記のフィッシングやスキミング、そしてサイトからの情報漏えいで流出してしまったカードを本人になりすまして、不正利用します。一般社団法人日本クレジットカード協会によると、年によって増減がありながらも、全体的に増加傾向です。内訳としては番号盗用による被害が多くを占めています。

 

ECサイトからの情報流出

前回のようなパスワードアタックのような攻撃にあい、ECサイトから直接カード情報が流出する危険性もあります。

EXILEの公式ECサイトに不正アクセス カード情報4万4000件が流出か
2020年12月08日
音楽ユニット「EXILE」などが所属する芸能事務所LDH JAPANは12月8日、同社が運営するECサイト「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受け、4万4663件のクレジットカード情報が流出した可能性があると発表した。このうち209件のカード情報については、11月27日時点で第三者に不正利用された可能性がある。
流出の可能性があるのは、8月18日~10月15日に同サイトでカード情報を登録するか、登録済みの情報を変更した利用者のカード名義人、カード番号、有効期限、セキュリティコード。
引用:https://www.itmedia.co.jp/news/articles/2012/08/news139.html

こうしたニュースが今も後を断ちません。セキュリティ対策に無頓着な場合、いつ自社が狙われてもおかしくはないのです。

 

クレジットカード情報が漏えいした場合のECサイトのリスク

1. ECサイトの閉鎖

カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。セキュリティ事故が起きると約半数のサイトが完全復旧できないほか、完全復旧するにはECサイトのリニューアルが必要で、ECサイトの信頼度低下や顧客離れなどを含めると、セキュリティ事故のダメージは計り知れないものとなります。

2.フォレンジック調査の費用

「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告と損害賠償金の支払い

お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、損害賠償金の支払い等が発生します。カード情報が流出した場合、ほとんどのケースは裁判になります。そしてその賠償金は、過去の判決例から分類すると、秘匿性に合わせて大きく3種類です。 まず、秘匿性が「低」と判断される場合です。住所や氏名など、特殊な情報でない場合がこれに該当します。この場合の相場は、一件あたり500円から1,000円くらいです。 次に、秘匿性が「中」の場合です。クレジットカード情報や、収入、職業に関する情報など、一般的には知られていないはずの情報がこれに該当します。この場合、一件あたり1万円くらいが相場となります。そして、秘匿性が「高」と判断されるケースでは、一件あたり3万円超となります。極めて個人的な情報、たとえばスリーサイズや手術歴、ユーザーIDとパスワードのセットなどがこれに該当します。因みに過去の判例で、1件当たり平均想定損害賠償額は3億3,705万円となっています。

4.社会的信頼の失墜

監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。

5.行政の指導や罰則のおそれ

2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられ、カード情報の漏えい対策として制定された同法律では、法的にもEC事業者への責任が強化されています。

 

さいごに

システムのセキュリティホールは、色々な角度から狙われています。攻撃者は対象のシステム全体から、SSHやFTP等のリモートアクセスの他、ウェブサイトへのSQLインジェクションの試行等、攻撃可能なセキュリティホールをあらゆる手段を駆使してスキャンしています。こうした攻撃に対する「クレジットカード情報の漏えい対策」には、WAFのような不正検知システムの導入が効果的です。いつ、どのような手段によって行われるか分からない攻撃に備えるためには、システム全体のセキュリティ対策が必要ということになります。

WAF は従来のファイアウォールや IDS/ADS では防御しきれなかった攻撃の検知・防御が可能となります。ファイアウォールは、主に不要なサービス(サービスポート)へのアクセスを制限し、不正なアクセスの防御を行っております。また IDS/ADS では不正なアクセスを検知するとアクセス元の通信を遮断します。しかし Web サイトなど、公開されているサービス(HTTP や HTTPS)はファイアウォールでは制限されない形となるため Web アプリケーションに脆弱性があると攻撃の脅威となります。WAF ではファイアウォールや IDS/ADS では検知できない攻撃を検出することができます。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

securiy report

今でも続くWebアプリケーションへの攻撃!JPCERT/CCの最新レポートから読み解く攻撃手法を解析

10月15日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が、2020年第2四半期のインシデント報告対応レポートを発表しました。国内外で発生するコンピューターセキュリティインシデントの報告をとりまとめたもので、今回は2020年7月1日~9月30日までの間に受け付けたインシデント報告の統計および事例について紹介されています。それによると、今期のインシデント件数は8386件で、前四半期の約1.2倍へと拡大しています。またフィッシング攻撃やWebサイトの改ざん、マルウェアサイトなどで増加が見られたということです。今回はこのレポートを基に、今危機感を持つべきWebサイトへの攻撃への高まりとは具体的に何か、その対処法はあるのかを重点においてお届けしていきたいと思います。

 

インシデント報告対応レポート統計

JPCERT/CCは、インターネット利用組織におけるインシデントの認知と対処、インシデントによる被害拡大の抑止に貢献することを目的として活動しています。今回発表されたレポートの統計についてまとめてみました。

インシデント報告関連件数

引用:JPCERT/CC

 こちらの図に示されているWebフォーム、メール、FAX等でJPCERT/CCに寄せられた報告の総件数は13,831件で、前四半期の1万416件から33%増加しています。JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 4,807件で、前年比で調整件数は14%増加しました。

インシデントのカテゴリーごとの内訳

引用:JPCERT/CC

 インシデントの内訳を見ると、「フィッシングサイト」が5845件で前四半期から11%増加しています。7月は1842件、8月は1849件、9月は2154件と後半にかけて増加傾向が見られます。今期気になるのは、「サイト改ざん」と「スキャン」行為といったWebサイトを狙った攻撃の増加です。「サイト改ざん」は374件で、前四半期の291件から増加、「スキャン」行為も1380件で、前四半期の982件から拡大しています。その他「マルウェアサイト(158件)」「標的型攻撃(16件)」といった攻撃も前期を上回っています。

 

Webサイトを狙った攻撃の増加

JPCERT/CCのレポートに基づいたWebサイトを狙った攻撃の増加には主に、「サイト改ざん」と「スキャン」がありました。これらについて具体的に解説していきたいと思います。

サイト改ざん

Webサイト改ざんとは、企業などが運営する正規Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。攻撃者がWebサイトを改ざんする際の攻撃手法としては主に脆弱性攻撃による改ざん、管理用アカウントの乗っ取りによる改ざん、パスワードリスト攻撃の3種類があります。

1. 脆弱性攻撃による改ざん

  • Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
  • 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります。
  • 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。

改ざんの手口のうち、サーバーソフトウェアの脆弱性攻撃は、サーバ上で動いているCMS(コンテンツマネジメントシステム)やサービスの脆弱性を狙われるものです。例えばブログや簡易な企業サイトで使われているWordPress、Joomla!、Movable Type、XOOPSといったCMSの脆弱性がよく狙われています。

また「SQLインジェクション」攻撃もよく使われる手法です。セキュリティの対策が十分でないウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあるとします。攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を行うことで、そのSQL文の内容が実行されてしまうのです。これにより、本来は隠されているはずのデータが奪われてしまったり、ウェブサイトが改ざんされてしまったりします。攻撃者がウェブサイトに対してSQLインジェクション攻撃をしかけることで、不正なSQLの命令が実行されてしまい、ウェブサイトを利用者するユーザーのID・パスワード・クレジットカードの番号をはじめとした個人情報がすべて奪われてしまう可能性があります。

2. 管理用アカウントの乗っ取りによる改ざん

  • Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
  • 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。

正規のWebサイトに攻撃を仕掛け、中身を改ざんする手法ですが、その目的は、Webサイトにコンピューターウイルスを仕込んで閲覧者に感染させることです。以前は、いたずら目的でのWebサイトの改ざんが多く見られましたが、最近では、金銭が目的の被害が増えています。自社のサイトがこのような改ざん被害にあって、逆に顧客に被害を与える「加害者」になれば失墜する信頼は計り知れないものとなるでしょう。

3. パスワードリスト攻撃

  • パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。
  • アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。

パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一です。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっています。パスワードリスト攻撃を受けたとなると、Webサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。

スキャン

スキャン攻撃とは、サイバー攻撃者が、攻撃先を探すために行うポートスキャンです。脆弱性の探索や侵入、感染の試行などを検知した件数が今回のレポートで増加し、警告されています。ポートスキャン自体は、サーバなどに対して稼働しているサービスを探り、開放されているポートを調べる行為で違法なものではありません。しかし、攻撃の事前準備として行われることが多いため、日常から適切な対処が必要となります。サイバー攻撃の手口は年々巧妙化していますが、システムの脆弱性を突くのが攻撃の基本となります。その脆弱性を見つけ出すためにポートスキャンは使われるのです。例えば、空いているポートがわかれば、そのポートを侵入経路として利用することができます。またサーバのOSやバージョンがわかれば、OSに依存する脆弱性を突くことができるのです。ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

 

WAFで防御できること

こうした警鐘をならされているWebサービスへの攻撃の増加に対し、有効なのがWAFを用いた防御システムです。例えばWAFで防御できることには以下の様な項目があります。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • メールヘッダインジェクション
  • パス名のパラメータの未チェック/ディレクトリトラバーサル
  • 意図しないリダイレクト
  • HTTPヘッダインジェクション
  • 認証とセッション管理の不備
  • 認可制御の不備、欠落
  • クローラへの耐性

Webアプリケーションに関する脅威をブロックできるのが「WAF」です。WAFを使えばWebアプリケーションに脆弱性があったとしても安全に保護することができます。最近となっては、システムのクラウドへの移行という傾向もあり、クラウド型WAFが注目を集めています。従来のアプライアンス型WAFと比べ、専門の機器の導入やセキュリティ担当者による運用が必要ありません。そのため、リーズナブルな価格で短期間で導入できるといったメリットがあります。クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」はWAF(Web Applicaion Firewall)サービスに加え、DDoS攻撃対策、SSL証明書、脅威情報データベースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービス、といったWebアプリケーションを守るトータル・セキュリティサービスを提供します。

Webアプリケーションを業務で利用するときは、セキュリティ上の脆弱性に注意しなくてはいけません。アプリケーションの開発者がセキュリティ対策を行っていても、人の手で作成されているため、脆弱性を完全になくすのは難しいでしょう。WAFはWebアプリケーションを保護する専用のファイアウォールのため、導入することでWebアプリケーションを安全に利用できます。
今現在、JPCERTのレポートからもわかるようにWebアプリケーションやサービスへの攻撃は劣えてはいません。それらの攻撃に備え、防御するにはWAFを導入することが望ましいといえます。
クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」につきまして、詳しくは下記リンク先をご確認ください。

https://www.cloudbric.jp/cloudbric-security-platform/