フィッシングサイトの仕組みと セキュリティ対策

クロスサイトスクリプティング(XSS)攻撃からWebサイトを守るWAF対策

フィッシング詐欺とは名前通り、エサで魚を釣るようにメールと偽造のリンクを利用してID、パスワード、クレジットカード番号など、個人情報や機密情報を詐取することを言います。一見、金融機関といった信頼度の高いところから送られてきた正規のメールのように見えますが、メールに記載されたURLをクリックすると本物そっくりの偽サイトへ誘導され、知らないうちにフィッシング詐欺に引っかかってしまいます。

フィッシングサイトへ誘導する手段はメールだけではありません。Gmailのようなメールサービスに迷惑メールを自動的に識別し振り分ける機能が組み込まれることで、ある程度フィッシングメールを遮断できるようになりました。それで、ハッカーらはエサとなるメールの代わりに、企業やサービスのWebサイトにクロスサイトスクリプティング攻撃を行い、悪意のあるURLを記載することで、ユーザを偽サイトに誘導し、個人情報及び機密データを要求する手法を使用します。

クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃とは、信頼できるWebサイトに悪意のあるスクリプトを埋め込むサイバー攻撃の一種です。問題はCross-site Scripting攻撃が行われても、正規サイトそっくりで、その違いを判別することは非常に難しいということです。

話題になったクロスサイトスクリプティング攻撃の事件としては2014年に起きた世界最大級のオークションサイトeBay(イーベイ)での事例が挙げられます。eBayはクロスサイトスクリプティング攻撃により約1億4500万件ユーザーアカウントの個人情報をフィシングで盗まれてしまいました。日本も例外ではありません。今年開かれる東京オリンピックが注目されていますが、最近公式サイトではないオリンピックのチケット販売サイトの存在が確認されるなど、フィッシング詐欺の被害リスクの高まりが懸念されています。

クロスサイトスクリプティング攻撃に対して、Webサイトを保有している企業には最も注意が求められます。Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

それではこのようなフィッシング詐欺に巻き込まれないために企業が取る対策とはなんでしょうか。クレジットカード情報保護のためのセキュリティ基準であるPCI-DSS(Payment Card Industry Data Security Standard)によりますと、顧客データを取り扱うWebサイトにはWebアプリケーションファイアウォール(WAF)を導入し、受信及び発信トラフィックをモニタリングすることが薦められます。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

では、 クラウドブリックが特別な理由は何でしょうか。クラウドブリックのロジックベースの検知エンジンが搭載されています。アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応できます。 不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知し、様々なWeb攻撃からWebサイトを安全に保護します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートせずに、脅威を防止することができます。

今後もハッカーの手口はさらに巧妙化していくことが懸念されます。したがって、企業はWebサイトへの保護を強化する対策を行わなければなりません。Webサイトから大事な情報を持ち出された後ではもう手遅れです。「うちのWebサイトは安全だ」と思い込んではいませんか。セキュリティ対策がしっかりできていると考えられる大手企業であっても、いくらでもWebサイトフィッシングリンクの踏み台になれます。自社のWebサイトを守り、顧客情報や機密データなど大事な情報を安全にするために、Webセキュリティ対策を取り組んでいきましょう。ビジネスを守るWebセキュリティの第1歩はWAFの導入から始まります。