security-trend2025

2025年の情報セキュリティトレンドは?最近の動向や効果的な対策を紹介


サイバー攻撃が年々高度化し、新たな脅威も予測される中で、情報セキュリティの必要性はますます高まっています。セキュリティトレンドを正しく理解し、適切な対策を講じることは、企業や個人にとって喫緊の課題です。

本記事では、2025年に注目すべき情報セキュリティトレンドをピックアップし、その背景や影響、効果的な防御策について詳しく解説します。

 

【2025年最新】情報セキュリティ脅威トレンド一覧

AIの進化や新たなサイバー攻撃手法の登場により、企業や個人を取り巻く情報セキュリティ環境は大きく変化しています。本記事では、2025年に注目される情報セキュリティの脅威トレンドを解説します。なお、これまでの傾向については、2024年版のトレンド記事もぜひご参照ください。

関連記事:情報セキュリティの最新トレンドは? 2024年の予測と行うべき対策

 

・AIを利用したサイバー攻撃が増加

AIを利用することで、攻撃者はマルウェアの作成や攻撃シナリオの最適化を迅速に行えるようになり、サイバー攻撃がより高度化・効率化しています。多くの生成AIツールでは犯罪につながる出力を行わないよう制御プログラムも組み込まれていますが、全てをカバーするまでには至っていません。

日本国内でも、生成AIを用いたマルウェア作成の容疑で逮捕者が出た事例があり、AI技術の悪用が現実の脅威となっています。このような攻撃に対処するためには、AIの活用を見越したセキュリティ対策の整備が急務です。

 

・公開前の修正プログラムを狙うゼロデイ攻撃が加速

ゼロデイ攻撃は、システムやソフトウェアの未知の脆弱性を利用した攻撃で、修正プログラム(パッチ)の提供前に行われるため、防御が非常に困難です。対処前の脆弱性を悪用することで、攻撃者はシステムへの侵入やデータの窃取を試みます。

ゼロデイ攻撃の被害を軽減するには、脆弱性の発見時にパッチを迅速に適用できる体制の構築や、侵入を検知するセキュリティツールの導入が必要です。

 

・従業員の持ち出しによる情報漏えいのリスクも

情報漏えいの原因として、退職者や内部不正によるデータの持ち出しが増加しています。IPA(独立行政法人 情報処理推進機構)の調査では、情報漏えいの36.3%が中途退職者によるものであることが報告されています。

参照:「企業における営業秘密管理に関する実態調査2020」報告書|IPA

このような内部リスクに対処するためには、退職時の厳格なデータ管理や、データアクセスのログ管理、機密情報に対するアクセス権の適切な設定が重要です。また、内部不正を防ぐための従業員教育も欠かせません。

 

・中小企業を狙ったランサムウェア攻撃が増加

警察庁の統計によれば、2024年の上半期時点で、ランサムウェアの被害件数114件のうち60%以上にあたる73件が中小企業でした。これは、中小企業が大企業に比べてセキュリティ対策が不十分であることが一因です。

参照:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
※はじめに、P.36参照

こうした状況に対処するためには、予算やリソースが限られている中小企業向けの手軽なセキュリティツールの導入や、従業員のセキュリティ意識向上も求められます。

 

・取引先や経営者になりすますビジネスメール詐欺(BEC)の拡大

ビジネスメール詐欺(BEC)は、取引先や経営者になりすまして偽のメールを送信し、金銭や機密情報を詐取する手口です。この攻撃は、技術的な脆弱性だけでなく、人間の心理や信頼関係を悪用する点が特徴です。

具体的には、取引先を装い「支払い口座が変更になった」といった偽の請求書を送付する手法がよく使われます。IPAの報告によると、このような詐欺による金銭被害は右肩上がりの増加傾向にあります。これに対抗するためには、メールの送信元や内容を厳しく確認する体制の整備が重要です。

参照:ビジネスメール詐欺(BEC)の特徴と対策|IPA
※P.3参照

 

・スミッシング詐欺の増加

スミッシング詐欺とは、SMSやMMSを利用して偽のリンクを送り、ユーザーをフィッシングサイトへ誘導して個人情報を盗む詐欺手法を指します。この攻撃は、メールを利用するフィッシング詐欺と比較して短いメッセージ形式を利用するため、ユーザーが不審に思うことなくリンクをクリックしやすい点が特徴です。

2025年には、特にMMSを悪用したスミッシング詐欺の増加が懸念されています。MMSは、画像や動画、音声ファイルなどを送信できるため、より精巧で信憑性の高いメッセージを作成可能です。例えば、公式機関や企業を装ったメッセージにロゴや動画を添付し、ユーザーに本物だと信じ込ませることができます。このような詐欺を防ぐには、リンクを含むメッセージの送信元を慎重に確認する習慣や、メッセージに記載されたリンクを直接クリックしないなどの対策が重要です。

 

2025年の情報セキュリティ対策トレンド予測

多様化する情報セキュリティの脅威に向け、2025年にはどのような対策が求められるのか注目されています。ここでは、最新のセキュリティ対策トレンドとして予測される3つのポイントを解説します。

 

・クラウドのセキュリティ強化が求められる

クラウドサービスの利用が拡大する中で、クラウドセキュリティは2025年も企業のセキュリティ戦略の中心的な課題であり続けると予測されます。特に注目されるのが、IAM(Identity and Access Management)とCASB(Cloud Access Security Broker)の連携による統合的なセキュリティ対策です。

IAMは複数のクラウドサービスにおけるアクセス権限を一元管理するシステムで、認証やアクセス制御を強化する役割を果たします。一方、CASBはクラウドサービスの利用状況を可視化し、データ保護やコンプライアンス、脅威の検知と防御など、多岐にわたる機能を提供するという考え方やサービスです。これらを活用することで、企業はクラウド上のデータやサービスを包括的に保護することが可能となります。

 

・エンドポイントのセキュリティ強化が重要になる

リモートワークの普及やクラウドサービスの利用拡大に伴い、エンドポイントセキュリティはますます重要となっています。エンドポイントとは、企業ネットワークに接続されるノートパソコンやスマートフォン、タブレットなどのデバイスを指します。

2025年には、EDR(Endpoint Detection and Response)やEPP(Endpoint Protection Platform)の導入がさらに進むと考えられています。EDRは、エンドポイントでの異常な活動をリアルタイムで監視し、攻撃の兆候を検知して即座に対応する仕組みです。一方、EPPはマルウェアやウイルスの防御に加えて、脆弱性の管理やデバイスのセキュリティポリシー適用を支援する製品です。これらのツールを導入することで、リモート環境下でもデバイスごとのセキュリティを強化し、企業全体のセキュリティリスクを低減できます。

 

・引き続き「ゼロトラストセキュリティ」の考え方が必要となる

ゼロトラストセキュリティの考え方は、2025年においても情報セキュリティの中核を担う重要な戦略であり続けると予測されています。このアプローチでは、ネットワーク内部を信頼せず、全てのアクセスを検証することが原則です。

具体的には、アイデンティティとアクセス管理(IAM)や多要素認証(MFA)を通じて、ユーザーやデバイスの正当性を確保します。また、マイクロセグメンテーション技術を活用し、ネットワークを細分化してアクセス権限を最小限に制限することで、不正アクセスやマルウェアの拡散を防ぎます。

 

まとめ

2025年における情報セキュリティの脅威は、AIを利用したサイバー攻撃やゼロデイ攻撃の加速など、多岐にわたっています。これらの脅威に対応するには、最新のセキュリティトレンドを理解し、複数の対策を組み合わせて堅牢な防御体制を構築することが重要です。

また、特に企業においては、迅速で効率的なセキュリティ対策の導入が求められます。そこでおすすめしたいのが、「Cloudbric WAF+」 です。本サービスはWAFとして、短期間に大量のアクセスを試行するリバースブルートフォース攻撃やゼロデイ攻撃など、多様なサイバー脅威に対応します。
セキュリティ対策は単なるコストではなく、企業や個人の安心と信頼を守るための投資です。適宜ツールなども活用し、次世代の脅威に備えた安全なオンライン環境を構築していきましょう。

 

▼企業向けWebセキュリティ対策なら、クラウド型WAFサービス「Cloudbirc WAF+」
▼Cloudbricの製品・サービスに関するお問い合わせはこちら

Cloudbric-10th

クラウド型セキュリティプラットフォームサービス「Cloudbric」が10周年を迎えました

 

Cloudbricは、韓国での発売開始から10年を迎えました。韓国では、2025年1月14日に「Cloudbric10周年記念式典」を開催いたしました。

 

Cloudbricは、2015年に韓国初のサービス型セキュリティ「SECaaS(Security as a Service)」として発売され、現在では約150カ国900あまりの企業への導入実績を持つまでに成長しました。

 

クラウド型WAFサービス「Cloudbric WAF+」を中心に、AWS WAFに特化した運用管理サービス「Cloudbric WMS」、脅威インテリジェンスプラットフォーム「Cloudbric Labs」、リモートアクセスソリューション「Cloudbric RAS」、韓国初の SDP SaaS 「Cloudbric PAS」(日本未発売)など、Cloudbricはさまざまなセキュリティサービスを提供してきました。これらサービスは、アメリカの「国家サイバーセキュリティ協議会(NCSA)チャンピオン」選定、「CyberSecurity Excellence Awards」および「Globee Awards for Cybersecurity」といった世界的権威のある賞を受賞するなど、クラウドセキュリティブランドとしての実力を評価いただいております。

 

サイバー攻撃が激しさを増している昨今ですが、Cloudbricはこれからも強固な「クラウドセキュリティ」を提供していくとともに、世界各国へサービスを拡張してまいります。

sniffing

スニッフィングとは?手口やリスク・効果的な対策を紹介

スニッフィングとは、ネットワーク上の通信データを傍受し、個人情報や企業の機密情報などを不正に取得するサイバー攻撃の一種です。本記事では、スニッフィングの具体的な手口やリスク、効果的な対策方法について詳しく解説します。企業のセキュリティ担当者が、スニッフィングの脅威を理解し、適切な対策を講じるための情報を掲載していますので、ぜひ参考にしてください。

 

スニッフィングとは

スニッフィング(sniffing)とは、インターネット通信やローカルネットワークで送受信されるパケットを傍受・解析することで、通信内容や個人情報などを取得するサイバー攻撃の一種です。攻撃者はネットワークの脆弱性を悪用し、ユーザーのIDやパスワード、クレジットカード情報などの個人情報や企業の機密情報などを盗もうとします。

 

スニッフィングの主な手口

ここでは、スニッフィングの主な手口を2つ紹介します。

 

・パケットキャプチャ

パケットキャプチャとは、ネットワーク上を流れるデータ単位であるパケットを収集し、その内容を解析することです。この手口では、パケットキャプチャツールやLANアナライザ、ネットワークモニタといったツールや機器を用いることで、データをリアルタイムで収集・解析でき、個人情報や企業の機密情報などを不正に取得することが可能です。

本来、このようなツールや機器は、ネットワークの健全性や通信障害などを解消する目的で使われます。しかし、攻撃者に悪用されるとスニッフィングを助けるものとなります。

 

・偽アクセスポイントの設置

偽アクセスポイントの設置では、本物のWi-Fiアクセスポイントと同じ名前(SSID)を設定し、ユーザーをだまして接続させることで、ユーザーの個人情報などを取得するスニッフィング手法のひとつです。ユーザーが偽のWi-Fiに接続すると、リアルタイムでデータを傍受・解析され、ログイン情報や機密情報などが盗まれます。

 

スニッフィングによるリスク

ここでは、スニッフィングによって起こり得るリスクについて解説します。

 

・ユーザーIDやパスワードの漏えい

スニッフィングでは、主にユーザーIDやパスワードなどの個人情報が狙われます。攻撃者はこのような個人情報を利用し、勝手に商品を購入したり、不正送金や不正出金をしたりできます。また、パスワードを変更して、ユーザー本人がアクセスできなくさせることも可能です。そして、知人などに勝手にメールを送ったり、SNSや掲示板に悪意あるコメントを書いたりなど、本人になりすまして悪用するケースもあります。

 

・企業の機密情報の漏えい

企業では、顧客データや営業秘密、新製品の開発データなどがスニッフィングの標的となります。これらのデータが漏えいすると、企業は甚大なダメージを受ける可能性があります。

例えば、顧客データが漏えいすると、企業は顧客の信用を失い、ブランドイメージが低下するだけでなく、顧客への損害賠償などの金銭的リスクが発生するおそれがあります。また、営業秘密や新製品の開発データが流出すれば、競合他社に対する競争力が低下し、企業の市場ポジションが揺らぎかねません。いずれの場合も、企業は大きな経済的損害を被ることになります。

加えて、盗まれた情報が他のサイバー攻撃に利用されるリスクもあります。もしも企業の内部情報が悪用されれば、取引先や委託先など業務上つながりのある企業にまで被害が拡大するおそれがあります。

 

スニッフィングの対策方法

ここでは、スニッフィングの対策方法を3つ紹介します。

 

・SSL/TLSが使用されているサイトにだけアクセスする

スニッフィング対策として有効な方法のひとつが、SSL/TLSが使われて、通信が暗号化されているWebサイトやアプリケーションだけを使用することです。SSL(Secure Sockets Layer)およびTLS(Transport Layer Security)は、インターネット上のデータ通信を保護するためのプロトコルであり、データの暗号化と認証を提供します。

通信が暗号化されていれば、第三者がデータを傍受したとしても、内容を解読することは困難で、ユーザーIDやパスワード、クレジットカード情報などの個人情報を保護できます。

SSL/TLSに対応しているサイトはURLが「https」で始まり、URLが「http」で始まるサイトは、SSL/TLSに対応していません。また、SSL/TLSに対応しているサイトは、ブラウザーのアドレスバーに鍵マークが表示されています。そのため、初めてのサイトにアクセスする際は、「https」とアドレスバーの鍵マークを確認し、信頼性の高い通信を行っているサイトのみにアクセスすることが大切です。

 

・暗号化されたWi-Fiのみ使用する

暗号化されたWi-Fiネットワークを使用することも有効な対策です。具体的には、WPA(Wi-Fi Protected Access)、WPA2、 WPA3といった暗号化方式で、特にWPA3は、最新の強力な暗号化方式のため、スニッフィングのリスクを大幅に低減できます。

一方、公共のWi-Fiの多くは暗号化されておらず、スニッフィング攻撃のターゲットとしてよく狙われます。やむを得ず公共のWi-Fiを使用する場合は、VPN(仮想プライベートネットワーク)を利用して通信を保護することをおすすめします。VPNを経由することで、インターネット通信を暗号化し、第三者による通信の傍受を防げます。

 

・セキュリティソフトウェアを導入する

スニッフィングによる不正なアクセスや通信内容の傍受を防ぐためには、セキュリティソフトウェアを導入することも重要です。最新のセキュリティソフトウェアを導入することで、リアルタイムでネットワーク上の通信を監視でき、異常な活動を検知・ブロックしてくれます。

例えば、Webサイトを含むアプリケーションの保護に特化したWAF(Web Application Firewall)などが有効です。WAFを導入することで、スニッフィングを含むさまざまなサイバー攻撃からシステムを保護できます。特に「Cloudbric WAF+(クラウドブリック・ワフプラス)」なら、クラウド経由のため、ソフトウェアを調達する必要がなく、セキュリティ担当者がいない場合でも簡単に導入が可能です。

クラウド型WAFサービス「Cloudbric WAF+」

 

まとめ

スニッフィングとは、ネットワーク上の通信データを傍受し、個人情報や機密情報などを不正入手する手法です。スニッフィングによる個人情報や企業の機密情報の漏えいを防ぐためには、SSL/TLSが使用されているサイトにだけアクセスする、暗号化されたWi-Fiのみ使用するといった対策が有効です。また、スニッフィングをはじめとするサイバー攻撃から企業のシステムを守るためには、WAFなど最新のセキュリティソフトウェアを導入することも重要です。

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら

RAG

RAG(検索拡張生成)とは?メリットや課題をわかりやすく解説

RAGとは、情報検索と生成AIを組み合わせた手法です。外部データベースから検索した関連情報を基に、生成AIが回答やコンテンツを作成することで、正確性や最新性が向上します。

本記事では、生成AIに関する情報収集を行っている企業の情報担当者向けに、RAG(検索拡張生成)の概要、メリット、課題を詳しく解説します。効果的なRAG活用とセキュリティ対策を行うための参考にしてください。

 

RAG(検索拡張生成)とは

RAG(Retrieval-Augmented Generation)とは、情報検索と生成AI技術の組み合わせです。内部ドキュメントや外部ナレッジベースから関連データを検索(Retrieval)し、それを基にテキストを生成(Generation)します。

これは、検索システムと生成モデルを組み合わせた新しいアプローチです。従来の大規模言語モデル(LLM:Large Language Models)が抱える、新しい情報や専門的な知識にアクセスできないという制約を解決するために開発されました。

 

RAGの仕組み

RAGにおいて回答が生成されるプロセスは、「検索」および「生成」という2つの段階(フェーズ)からなります。各フェーズを解説します。

 

・検索フェーズ

検索フェーズは、LLMが持っていない知識や最新情報を補完するために、関連するデータを検索システムが外部データベースなどから取得するプロセスです。具体的には、企業の内部文書や最新の研究論文、ニュース記事など、LLMが事前に学習していない情報を検索することで、より正確で詳細な回答を提供できるようになります。

このフェーズでは、まずユーザーの質問に基づいて検索クエリが生成され、そのクエリを基にシステムが関連性の高いデータを検索・取得します。取得したデータは、ユーザーの質問に対する最適な回答を生成するための基礎情報となります。

 

・生成フェーズ

次の生成フェーズでは、取得した関連データを基に、LLMがユーザーの質問に対する具体的で詳細な最適な回答を生成します。

検索フェーズで取得した最新情報や専門的知識を活用して、より正確で信頼性の高い回答を提供するのが生成フェーズです。LLMはこれらのデータを活用することで、既存の学習データだけでは対応しきれない複雑な質問にも対応できます。

このフェーズでは、取得したデータをLLMが効率的に統合し、高度な自然言語処理技術を駆使してユーザーの質問に最適な回答を生み出します。回答の精度は検索フェーズで取得したデータの質と関連性に大きく依存するため、いかにして検索システムが外部情報を取得しやすくするか、フォーマットの整備やチューニングが重要です。

 

RAGを活用するメリット

RAGを活用するメリットは以下の4点が挙げられます。

 

・最新情報を反映できる

従来のLLMは、学習時点までのデータに基づいて回答を生成するため、新しい情報を反映することが困難でした。これは、モデルがトレーニングデータの範囲内でしか知識を持たず、最新の出来事や進展に対応できないことに起因します。

しかしRAGは、この制約を克服できるように設計されており、外部のデータベースなどから検索した情報を基に回答を生成します。これによって、最新の情報に基づいた正確な回答の提供が可能です。

 

・回答の正確性と詳細性を向上できる

RAGは、LLMが生成する回答に外部から取得した具体的なデータや事実を組み込むことで、正確性や詳細性を向上させられます。特定の質問に対して適切な情報を集中的に検索し、多角的な視点から回答を生成するため、複雑な質問にも対応可能です。例えば、最新情報をベースにした質問や専門分野に関する質問、回答に複数の情報源からの関連付けを要する質問などに対応できます。

 

・ハルシネーション(幻覚)を軽減できる

LLMでは、時に事実に基づかない誤った情報(ハルシネーション)を、自信を持って生成してしまうリスクがあります。モデルがトレーニングデータに基づいて学習しているため、この問題は新たな情報や専門的な知識にアクセスできない場合に発生しがちです。しかしRAGは、外部情報源から信頼できるデータをリアルタイムで取得し、そのデータを基に回答を補強・検証して、誤った情報が含まれるリスクを低減します。

 

・よりカスタマイズされた回答ができる

RAGはユーザーの質問に対し、質問の背景や意図も考慮しながら関連性の高い情報を検索・生成することが可能です。そのため、文脈に沿って最適化された回答を提供できます。特に、個々のユーザーのニーズに合わせて回答を調整し、カスタマイズ=パーソナライズされた応答を実現します。

 

RAGを活用する際の注意点

RAGを使う際の注意点を確認しましょう。

 

・外部情報の品質に依存する

RAGは、外部情報を検索して生成モデルに提供するため、使用するデータベースや情報源の品質が重要です。例えば、企業の内部文書や最新の研究論文、ニュース記事などの信頼性が低い場合、それに基づく誤った回答が生成される可能性があります。RAGを効果的に活用するためには、外部情報のファクトチェックや定期的な更新が不可欠です。

 

・応答時間が長くなる

RAGは、検索と生成のフェーズを経るため、応答時間が長くなる傾向があります。特に大規模なデータベースを使用する場合、検索処理に時間がかかり、回答が遅れてユーザー体験に影響を与える可能性があります。この課題に対処するためには、効率的な検索システムの設計や、利用頻度の高いデータを一時的にメモリへ保存するキャッシングなどの工夫が必要です。

 

・機密情報が漏えいする可能性がある

外部データを検索して生成モデルに提供するRAGの性質上、機密情報や秘匿性の高いデータが含まれている場合、それが意図せず出力されかねません。企業の内部文書や機密性の高いデータが検索対象となれば、その情報が回答に含まれてしまう可能性があります。

このリスクを軽減するためには、データベースに対するアクセス権限を厳密に管理するといった機密情報へのアクセス制限や、適切なセキュリティ対策を講じる必要があります。

 

まとめ

RAGは、検索した外部のデータとLLMの働きを組み合わせることで、正確かつ詳細な回答を提供する技術です。便利な反面、外部情報の品質や応答時間、機密情報の漏えいリスクには注意が必要です。

外部データベースとの通信保護や、サイバー攻撃による機密情報の漏えい防止には、WAFサービスが有効です。詳しい情報は、以下のページからご確認ください。

Cloudbric WAF+|Cloudbric(クラウドブリック)

 
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら

cyberattack_example

【2024年】サイバー攻撃の被害事例まとめ 最新動向と対策

企業を狙うサイバー攻撃は日々進化しており、攻撃を防止するセキュリティ対策の実施が急務です。そこで本記事では、情報システム担当者の方など企業のセキュリティ対策を知りたい方に、日本企業が狙われたサイバー攻撃の被害事例を紹介しながら、サイバー犯罪の最新動向について解説します。併せて、事前の対策として有効な方法やおすすめのツールも紹介するので、自社での対策にお役立てください。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

 

サイバー攻撃とは

サイバー攻撃とは、ネットワークやコンピュータシステムを攻撃し、データの窃取・改ざん・破壊・漏えい、セキュリティソフトの無効化などを目的とする犯罪です。攻撃者のターゲットは、主に企業や政府機関です。機密情報の窃取や身代金の要求、政治・社会的な目的、個人的な復讐、承認欲求を満たすためなどさまざまな動機で狙います。

以下が代表的なサイバー攻撃の種類です。

  • マルウェア
  • フィッシング
  • ランサムウェア
  • サービス拒否(DoS/DDoS)攻撃
  • ゼロデイ攻撃

 

【2024年】国内のサイバー攻撃の被害事例4選

サイバー攻撃の被害は、日本企業でも発生しています。以下は、2024年の被害事例です。

 

・大手総合エンターテインメント企業がサイバー攻撃で36億円の特別損失

この事例では、攻撃者はランサムウェアなどの方法で、約1.5テラバイトのデータを窃取しました。その結果、25万人以上の個人情報や社内文書、社外との契約書などの情報が漏えいし、攻撃者は一部をダークウェブ上で公開しています。この企業では、サイバー攻撃により、オフィシャルサイト、動画配信サイト、ECサイトなどが一時的に閲覧不可となり、書籍の物流システムや編集業務にも支障が生じました。この被害による特別損失は24億円と発表されています。

 

・大手スーパーマーケットがランサムウェア被害で社内の全ネットワークが遮断

大手スーパーマーケットでは、グループ会社を含む社内サーバーがランサムウェア攻撃を受け、一部のデータが暗号化されました。攻撃者は、VPN装置を狙いサーバーに侵入したものとみられています。この企業では、被害拡大防止のため全ネットワークを遮断し、社内外のネットワークがすべて停止しました。そのため売上や仕入れのデータ登録ができなくなり、従業員の勤怠管理、給与計算、請求書発行などの業務にも支障をきたしました。

 

・大型総合病院が不正アクセスで診療記録の一部が暗号化

ある大型総合病院では、ランサムウェアによる不正アクセスでサイバー攻撃を受け、病院の画像管理サーバーに保存されていた診療記録の一部が暗号化される被害が発生しました。そのため、病院は救急や一般外来の受け入れを制限し、紙カルテを使用しての診療をせざるを得ない状況となりました。病院には攻撃者から身代金の要求があったものの、身代金は支払わずシステムの再構築を行い、復旧させています。

 

・保育サービス企業がランサムウェア攻撃でデータが暗号化

保育サービスを展開するある企業では、社内サーバーが不正アクセスされ、個人情報や企業情報を含む可能性があるデータが暗号化される被害を受けました。この企業には複数の地方自治体が事業を委託しており、委託先施設も情報漏えいの可能性があると発表するなど、影響が多方面に及びました。同社は影響の範囲や原因の特定などの調査を継続しています。

 

サイバー攻撃の最新動向

サイバー攻撃は日々進化しており、攻撃による被害を防止するには、最新の動向や手口を把握する必要があります。

 

・サイバー攻撃数は増加傾向にある

近年、サイバー攻撃の件数は世界的に増加しています。国立研究開発法人情報通信研究機構の「NICTER観測レポート2023」では、サイバー攻撃関連通信が前年より18%増加したという結果が公表されました。

参照元:国立研究開発法人情報通信研究機構「NICTER観測レポート2023の公開

また、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の調査では、2024年第3四半期に1組織当たりが受けたサイバー攻撃数は、平均で1,876件という結果が出ています。この件数は過去最高件数です。2023年の同時期と比べると75%アップ、2024年第2四半期比では15%アップしています。

参照元:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社「チェック・ポイント・リサーチ、2024年第3四半期に世界中でサイバー攻撃が75%急増し、過去最高を記録したことを確認

 

・サイバー攻撃の年間被害金額

IBMの調査によると、日本企業42社が2024年2月までの1年間に受けたサイバー攻撃の平均被害額は、過去最多の約6億円でした。

参照元:IBM「2024年データ侵害のコストに関する調査

産経新聞「サイバー攻撃による企業の被害は平均7億円で過去最多 IBM調査

警察庁の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期のインターネットバンキングの不正送金被害は約24億4,000万円、フィッシング詐欺報告件数は63万3,089件です。また、同期に起きたランサムウェア攻撃の件数は114件、暗号化せずデータを窃取し身代金を要求するノーウェアランサムウェア攻撃は14件です。ランサムウェア攻撃の感染経路の約8割は、外部からのネットワーク経由であることもわかっています。

参照元:警察庁サイバー警察局 「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について
p.2、p.7、p.36

 

サイバー攻撃は事前の対策が重要

サイバー攻撃の多くは、システムの脆弱性や人的ミスを狙っています。特に、フィッシング攻撃やソーシャルエンジニアリングといった手法は、従業員の知識不足や不注意を利用して行われます。そのため、従業員への教育はサイバー攻撃への対策として極めて重要です。

基本的なセキュリティ知識や攻撃の手口を共有するとともに、疑似メールを用いた実践的な訓練を行うなどして対応力を高める必要があります。パスワード管理やデータの取り扱いに関するルールを明確にし、徹底して守るよう促すことも必要です。このような教育を通じて、全社的にセキュリティ意識の向上を図りましょう。

 

・セキュリティツールはWAFの導入がおすすめ

サイバー攻撃を防ぐには、セキュリティツールの導入も必須です。特におすすめなのがWAF(Webアプリケーションファイアウォール)です。
WAFはWebアプリケーション層で動作し、不正なHTTP/HTTPSリクエストを監視・制御して、サイバー攻撃からシステムを守ります。ファイアウォールやIDS/IPS、次世代ファイアウォール、UTMといった従来の対策では防御できない領域をカバーし、企業のWebビジネスを保護することが可能です。

中でもCloudbric WAF+(クラウドリック・ワフプラス)は、社内にセキュリティ担当者がいなくとも運用しやすいため、おすすめです。
Cloudbric WAF+は、企業に必須のセキュリティ機能として、以下の5つを搭載しています。

  • WAFサービス
  • DDoS攻撃対策サービス
  • SSL証明書サービス
  • 脅威IP遮断サービス
  • 悪性ボット遮断サービス

日本を含む数カ国で、攻撃検知の方法やAIに関する特許を取得した高度なセキュリティツールです。

Cloudbric WAF+

 

まとめ

サイバー攻撃の事例は、近年世界的に増加しています。システムの脆弱性などを狙い、ランサムウェア攻撃などで企業に多大な損失を与えます。そこで、高度なセキュリティレベルを保ち、攻撃を予防するツールの導入が必要です。特に、Cloudbric WAF+は社内に専門的な知識をもつ人材がいなくても高度なセキュリティ対策を構築できるため、導入の検討をおすすめします。

 

▼企業向けWebセキュリティ対策なら、クラウド型WAFサービス「Cloudbirc WAF+」

▼Cloudbricの製品・サービスに関するお問い合わせはこちら

duolingo-hacked

至るところで活用されているそのAPIは、「API攻撃」から保護されていますか?

近年、APIセキュリティはサイバーセキュリティにおける主な焦点となっています。世界的な調査会社であるガートナー は、APIセキュリティの重要性を認識し、WebアプリケーションおよびAPIセキュリティ(WAAP)と名付けた新しいWebアプリケーションセキュリティモデルを提案しました。APIは、Application Programming Interfaceの略で、一連の定義とプロトコルを使用して2つのソフトウェアコンポーネントが相互に通信できるようにする仕組みです。APIは、一般にデータとサービスへのアクセスを提供するために使用され、開発者は既存のデータと機能を活用して新しいアプリケーションやツールを構築できます。

例えば、新しいフードデリバリーアプリで地元のレストランを表示するために地図が必要な場合、開発者が新しい地図を作成し、レストランのデータをすべて自分で収集するのは非効率的です。代わりに、Googleマップなどの既存のマップAPIを使用して、アプリに必要なデータを取得できます。
APIは、次のような理由から、現代​​のソフトウェア開発に欠かせないものになりつつあります。

 
・相互運用性
APIは、ソフトウェアシステム間の相互運用性を促進し、APIを使用することで異なる開発者によって開発されたアプリケーションやサービスが連携し、データを共有し、統合されたソリューションを提供できるようになります。
・モジュール開発
APIを使用すると、複雑なシステムをより小さく管理しやすいコンポーネントに分割できるため、ソフトウェアの開発、テスト、メンテナンスが容易になります。開発者は特定の機能の構築と更新に集中できます。
・クロスプラットフォーム統合
APIによってクロスプラットフォームの統合が可能になり、アプリケーションが異なるさまざまなデバイスや環境で動作できるようになります。
・データアクセスと共有
APIは、アプリケーション間でデータを交換するための構造化された方法を定義します。通常、形式は JavaScript Object Notation (JSON) または Extensible Markup Language (XML) です。この標準化により、要求するアプリケーションと提供するシステムの両方がデータを簡単に解釈して処理できるようになります。

 
こうしたメリットがあるにもかかわらず、すべてのAPIがセキュリティ対策を講じて構築されているわけではなく、APIを狙った攻撃によりサービスに重大な被害が発生したと報告する組織も増えています。Duolingoもそのひとつで、非常に人気のある言語学習アプリケーションを提供する企業です。2022年第1四半期末までに、Duolingoの月間アクティブ ユーザー数は4,920万人に達したと推定されています。当然ながら、ユーザーデータの量が膨大であるため、Duolingoのユーザーデータベースはハッカーの標的となりました。2023年1月、Duolingoスクレイピングされたユーザーデータ260 万人分が、「Breached」と呼ばれるダークウェブのハッキングフォーラムに掲載されてしまいました。スクレイピングされたデータには、メールアドレス、氏名、ユーザー名、その他のユーザープロフィール情報が含まれていました。

 


出典:FalconFeedsio

 
 
ハッカーは DuolingoのAPIの脆弱性を悪用して、ユーザーデータを入手したと考えられています。DuolingoのAPIは、他の形式の検証を求めることなく、メールアドレスまたはユーザー名のみに基づいてユーザー情報へのアクセスを提供していました。APIには、リクエストが正当なユーザーからのものであることを確認するためのセキュリティ対策を講じていなかったため、ユーザーデータへのアクセスは制限されていませんでした。このインシデントは、OWASP Top 10 APIセキュリティリスクの2つの脆弱性に分類されます。

 
API2:2023 – 認証の不備
API3:2023 – 壊れたオブジェクトのプロパティレベルの認証 (BOLA)

 
APIがハッカーの標的となっているため、APIを含むサービスを提供する組織や企業にとって、APIセキュリティを確立することが重要な課題となっています。市場には、すでに API セキュリティのソリューションが数多く存在していますが、重要な質問は、「どのソリューションが自社の環境に最も適しているか」ということです。

さまざまな目的のAPIが無数に存在するため、APIセキュリティのソリューションもさまざまな方向性とアプローチを取ることができます。例えば、インジェクション攻撃や認証エラーなど、APIの特定の脆弱性に焦点を当てたソリューションもあれば、API検出に重点を置くもの、APIゲートウェイに重点を置くものもあります。どのタイプのソリューションが最適であるかについては、明確な答えはありません。したがって、組織や企業はソリューションを採用する前に、環境とニーズを慎重に評価することが重要です。

 
ペンタセキュリティのAPIセキュリティは、実際のAPI攻撃や脆弱性に焦点を当てたソリューションを構築しています。ペンタセキュリティは、2024年にAWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF – API Protection」をリリースしました。このサービスをサブスクライブするだけで、セキュリティベンダーが事前に定義したセキュリティルールを迅速に適用することができます。このAPI Protectionは、AWS WAFユーザーがAPI攻撃を迅速かつ容易に検出してブロックできるソリューションで、OWASP API Security Top 10 Riskの脅威に対するセキュリティを提供します。APIの攻撃と脆弱性に対応するため、API Protectionはペンタセキュリティ独自のサイバー脅威インテリジェンス(CTI)で収集・分析されたAPI攻撃データを活用し、既知のAPI攻撃に対するセキュリティを確立します。また、API ProtectionはXML、JSON、YAMLデータの検証と保護も提供します。API Protectionは、世界的な製品検証機関であるThe Tolly Groupが実施した比較テストによって、AWS Marketplaceで提供されている APIセキュリティルールグループの中で、最も高い検知率を持つことが検証されました。

 

 
 
コスト効率の高い従量課金制で、ユーザーは製品をサブスクライブするだけで、セキュリティの専門知識を必要とせずに強力なAPIセキュリティを実装できます。

 
▼APIを効果的に保護するCloudbric Managed Rules for AWS WAF – API Protection

20241126_pentasecurity_banner

【ウェビナー】11/26(火)14:00~「AWS WAF運用の負担をなくす方法」

 

2024年11月26日(火)にオンラインセミナー「AWS WAF運用の負担をなくす方法【ユーザー企業向け】 〜誤検知・リソース不足・コスト高騰を解消するマネージドサービス活用〜」を開催いたします。

 

概要

適切なAWS WAF運用の重要性
AWSを運用する企業にとって、WAF(Web Application Firewall)の運用は、Webアプリケーションへの不正アクセスをブロックし、WebサイトやWebアプリケーションを保護するための重要なセキュリティ対策です。しかし、Webアプリケーションへの攻撃は日々進化しており、適切なルール設定や最新の脅威情報への対応など、AWS WAFの運用には専門的な知識と継続的な努力が求められます。

AWS WAF運用における課題
AWS WAFの運用には、専門知識を持つ人材の不足や運用コストの増大が大きな課題です。限られたリソースで脅威情報の収集やルール更新対応などを行うことは容易ではありません。また、誤検知や過検知の問題も深刻で、正常なアクセスがブロックされる一方で、攻撃を見逃してしまうリスクもあります。これらの課題は、ビジネスの継続性や効率性に悪影響を及ぼす可能性があります。

マネージド型WAFで、AWS WAF運用を効率化しませんか?
AWS WAFの運用負担を軽減し、効率化するためには、プロのサポートを活用することが有効です。本セミナーでは、24時間365日の監視と専門的な対応を提供する「Cloudbric WMS for AWS WAF」や、柔軟にエンジニアリソースを活用できる「マモル マネージドプラス」など、実績豊富なマネージド型サービスをご紹介します。これらのサービスにより、誤検知対応や脆弱性への迅速な対応が可能になり、AWS WAF運用のコスト削減とリソース最適化を同時に実現します。AWS WAFの運用にお悩みの方は、ぜひご参加ください。

日時 : 11月26日(火) 14:00〜15:00
主催:ペンタセキュリティ株式会社
共催:株式会社リンク
 

▽詳細およびお申し込みはこちら
https://majisemi-security.doorkeeper.jp/events/179128

 

api

APIとは? わかりやすく意味・機能・活用事例を解説

 

APIとは、別々のソフトウェア間でデータなどのやりとりを行うための仕組みです。APIを連携すると既存のアプリケーションをそのまま活用できるため、自社で一から開発する手間が省けるなどのメリットを享受できます。
本記事では、APIの概要や機能、仕組み、活用するメリットなどを解説します。SNSや社内業務への活用事例も紹介するので、自社でAPIを有効に使い、ビジネスの可能性を拡大するために役立ててください。

 

APIとは? 意味を解説

APIとは、Application Programming Interface(アプリケーション・プログラミング・インターフェース)の略で、異なるアプリケーション(ソフトウェア)やシステムを連携させるインターフェースのことです。

インターフェースには「接点」「つなぐもの」という意味があります。APIは、異なるアプリケーションなどのサービス間において接点となり、情報の橋渡しの役割を担っています。

ここからは、APIにどのような機能があり、どのような仕組みでアプリケーション間をつないでいるのかについて解説します。

 

・APIの主な機能

APIの主な機能には、以下が挙げられます。

  • データの共有・管理
  • 特定のデータ・機能へのアクセス制限
  • 外部機能の利用

API利用は、異なるアプリケーション間でのデータのやりとりを可能にします。APIにもさまざまな役割があり、データ分析APIを使用すれば、複数のシステムに分散しているデータを集約し、分析することが可能です。データへのアクセス制限を行うこともでき、特定のIPアドレスのみにアクセスを許可するなどのセキュリティ管理にも対応します。

また、API連携により、自社にはない外部機能を利用することも可能です。例えば、Google MapsのAPIを使用すれば、自社のWebサイトに地図を表示したり、経路検索機能を実装したりできます。自社でわざわざ地図を作製せずにすみ、専門外の作業に手間を割く必要がなくなります。

 

・API連携の仕組み

API連携は、利用者(外部サービスを利用したい側)とサービス提供者、そして間に入るAPIによって成り立ちます。連携するサービスにもよりますが、以下のような流れで連携を図ります。

  • 利用者が特定のデータ開示や機能の要求(リクエスト)を行う
  • APIはサービス提供者の受付係となり、リクエストを受け取る
  • サービス提供者が処理を行う
  • サービス提供者が処理結果をAPIに返す
  • APIが利用者に応答(レスポンス)を行う

例えばECサイトなどで商品購入時にクレジットカードを利用する場合、カード番号や個人情報を入力します。しかし、たいていの場合、ネットショップのサーバーに個人情報は直接保存されません。専門的なセキュリティ対策が施されているクレジットカード会社のAPIを利用するのが一般的です。

ネットショップ(利用者)からリクエストが行われ、クレジットカード会社(サービス提供者)のAPIが受け付け、処理が終了すると、ネットショップにレスポンスを行います。ネットショップはさらに、受け取った決済結果を顧客に通知するといった流れです。

 

API活用のメリット

APIを活用すると、以下のようなメリットが得られます。

  • 必要な機能を自社のために一から設計・開発しなくても外部サービスを利用できる
  • 複数のシステムがもつデータを活用できるので、新たなビジネスチャンスにつなげられる

APIを通じて外部サービスを利用すれば、開発の手間やコストを削減できます。必要な機能をスピード感をもって実装できるのは、大きなメリットです。また、複数のシステムのデータを管理・分析することで、サービス改善や新たなビジネスチャンスにつなげられることもAPI活用の利点です。

ただし、セキュリティ対策はAPI提供企業により内容は異なるので、自社にとって十分かどうか確認しておきましょう。

 

API連携の活用事例

自社サービスにSNSやECサイトを連携させるほか、社内業務で使用するツール同士をAPI連携させる例があります。

 

・SNS

LINEやX、FacebookなどのSNSが提供しているAPIを活用することで、以下のようなことが可能になります。

  • 自社サービスへの登録を顧客にしてもらう際、既存のSNSアカウントを利用してもらう
  • 登録してもらったSNSアカウント情報のデータを収集・分析
  • LINEなどのチャットボット機能をコミュニケーションツールとして利用

例えば、Xの口コミを分析したり、自社製品に合ったインフルエンサーを効率的に探したりすることが可能です。また、ヤマト運輸などではLINEのチャットボット機能が活用されています。リアルタイムで顧客とコミュニケーションをとる機能を利用すれば、ビジネスチャンスの創出につながります。

 

・ECサイト

ECサイトのAPI連携では、実店舗や自社サイトの商品在庫・顧客データなどの一元管理が可能です。例えばAmazon APIの場合、以下のように活用できます。

  • APIで取得したAmazonの商品情報を自社サイトにリアルタイムで反映
  • 商品出品・注文処理など、販売・管理機能の利用
  • Amazonの顧客レビューやデータをAPIで収集し、顧客の嗜好や購入傾向を分析

商品情報などが自動で更新されるため、販売に関わる手間が大幅に省けます。AmazonがAPI連携しているクレジットカード会社の決済手段なども利用可能です。Amazonの膨大な顧客レビューやデータを活用し、競合製品との比較や顧客の購入傾向を分析できます。多くの企業が、商品の改善やマーケティング施策に利用しています。

 

・社内業務

社内業務の効率化にもAPIが役立ちます。例えば、ChatworkとSlackなどの異なるビジネスチャットツールを連携すればやりとりを一元化できます。また、自社のCRMと会計システムや生産管理システムなどもAPI連携可能です。自社に必要なAPIを選ぶことにより、部署同士や取引先などとの情報共有が簡単にでき、意思決定の迅速化などに役立ちます。

 

API利用にはセキュリティ対策が重要

API利用では、多くの個人情報や社外秘の情報などがやりとりされます。便利な反面、安全に利用するためには、セキュリティ対策の強化が重要となります。

具体的には、トークン(認証情報の一種)と署名の使用、通信方法の暗号化、アクセス履歴の把握などが挙げられます。しかし、ひとつひとつ自社で対応するのは困難です。あらゆる攻撃からWebサイトやアプリケーションを保護するためには、WAF(ウェブアプリケーションファイアウォール)などの利用が必須です。WAFはAPIセキュリティの重要な要素ですが、セキュリティ対策は自社にあわせ、多層的に構築しましょう。

 

まとめ

APIは、異なるアプリケーション同士をつなぐインターフェースです。API連携を行うと、外部サービス機能を自社サイトに組み込んで利用したり、データを共有・一元化したりできるなどさまざまなメリットを得られます。

安心してAPI連携を行うためには、セキュリティ対策を施す必要があります。WAF利用を検討中なら、「Cloudbric WAF+(クラウドブリック・ワフプラス)」がおすすめです。サービス内容は、以下を網羅しています。

  • WAFサービス
  • DDoS攻撃対策サービス
  • SSL証明書サービス
  • 脅威IP遮断サービス
  • 悪性ボット遮断サービス

(参照:Cloudbric WAF+

Cloudbric WAF+は、高度なクラウド型WAFサービスです。AWS WAF利用者専用の「Cloudbric Managed Rules」もあり、こちらではルールのサブスクリプションが可能です。事業内容や必要に応じてセキュリティサービスを選んで、API連携を行いましょう。

(参照:Cloudbric Managed Rules

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

go-to-japan-market

【イベント】11/22(金)韓国のソフトウェア企業が集結「Go to Japan Market」に出展

 

このたび、ペンタセキュリティは、2024年11月22日(金)に開催される、韓国のソフトウェア企業10社が集結して最新技術を活用したサービスを紹介するイベント「Go to Japan Market」へ出展いたします。

 

概要

日時 : 11月22日 (金) 11時30分〜17時 ※ 11時より受付開始
場所 : Tokyo Innovation Base
主催機関:韓国中小ベンチャー企業部、大中小企業農漁業協力財団(KOFCA)
主催協会:韓国ソフトウェア産業協会(KOSA)
主催企業:MegazoneCloud
参加企業:Daliworks、Moin、RGT、Suresoft tech、Meissa、NEWIN、ペンタセキュリティ、BHSN、Inventis、FutureMain
参加費:無料

 

<プログラム>

11:00~:受付開始
11:30~12:00:オープニング
12:00~13:00:韓国ソフトウェア企業のプレゼンテーション
13:00~17:00:各企業のブースおよびビジネスマッチング
17:00:クロージング

 

<こんな方におすすめ>

・韓国の有望なIT企業と今後事業拡大のため協業したい事業会社様
・韓国企業へ投資を行いたい投資家様
・韓国IT企業とのネットワーキングを希望している方
・韓国に進出したい日本の企業様

 

▽詳細およびお申し込みはこちら
https://peatix.com/event/4183332/

 

pwlist

パスワードリスト攻撃とは?起こりうる被害や対策方法を解説

 

現代は情報通信技術が加速度的に進歩・発展しており、それに伴ってサイバー攻撃も多様化かつ巧妙化する傾向にあります。特にクラウドサービスやWebアプリケーションを積極的に活用している企業の場合、パスワードリスト攻撃に対する注意が必要です。本記事では、パスワードリスト攻撃の基礎知識について解説します。パスワードリスト攻撃によって起こりうる被害や対策方法なども紹介しますので、ぜひ参考にしてください。

 

パスワードリスト攻撃とは

パスワードリスト攻撃とは、第三者が不正な手段でIDやパスワードを入手し、本人になりすましてログインするサイバー攻撃です。攻撃者がIDやパスワードを不正に入手する方法は多岐にわたります。例として挙げられるのは、正規のサービスを装ってIDやパスワードを入力させるフィッシングメール、キーボードの入力情報を記録するキーロガーを介したデータの窃取、またはパスワードを総当たりで解読するブルートフォース攻撃などです。

また、組織内部の人間による意図的なデータの流出や、ヒューマンエラーによる情報漏えいなどもパスワードリスト攻撃の起点になり得ます。パスワードリスト攻撃は正規のユーザーが実際に使用しているID・パスワードを悪用してログインするため、不正アクセスとして検知しにくい傾向にあります。同じパスワードを使い回している場合、別のサービスにまで被害が拡大する点もパスワードリスト攻撃の特徴です。

 

パスワードリスト攻撃によって起こりうる被害

パスワードリスト攻撃の標的となった場合、想定される被害として以下の3つが挙げられます。

 

・SNSのアカウントが乗っ取られる

パスワードリスト攻撃によってIDやパスワードを窃取された場合、なりすましによるSNSアカウントへの不正なログインが可能です。攻撃者はそのアカウントを利用して持ち主が意図しない内容を不正に投稿できるため、フォロワーに誤解を与えてしまう可能性があります。

また、不正にログインしたアカウントをスパムの起点として悪用されるケースも珍しくありません。企業の公式アカウントが乗っ取られた場合、ブランドイメージの失墜につながるのはもちろん、正規のアカウントを装った詐欺行為に利用されるリスクが懸念されます。

 

・個人情報・機密情報が漏えいする

パスワードリスト攻撃によって想定される被害のひとつが機密情報の漏えいです。近年ではクラウドコンピューティングの普及に伴い、基幹業務を統合的に管理するERPや、顧客関係を一元管理するCRMをクラウド環境で運用する企業が少なくありません。

第三者にIDやパスワードを悪用されると、従業員の個人情報や顧客情報、あるいは製品開発情報や財務情報といった機密度の高いデータを盗み出される可能性があります。こうした機密性が流出した場合、企業の信頼性が損なわれるだけでなく、多額の賠償責任を負うことも考えられます。

 

・クレジットカードを不正利用される

パスワードリスト攻撃によって、クレジットカードの不正利用も起こりえます。たとえばECサイトにはユーザーの氏名や住所、電話番号、メールアドレス、さらにはクレジットカード情報など、さまざまな重要データが保存されています。

パスワードリスト攻撃によってECサイトに不正ログインされた場合、攻撃者は登録されているクレジットカード情報を盗み出し、ユーザーになりすまして商品やサービスを購入することが可能です。また、窃取したクレジットカード情報を違法賭博や不正取引などに悪用される可能性もあります。

 

パスワードリスト攻撃の対策方法

パスワードリスト攻撃から情報を保護するためには、以下に挙げる5つの対策を意識することが大切です。

 

・複雑なパスワードを設定する

パスワードリスト攻撃を防止する基本的な対策はパスワードの複雑化です。単純なパスワードは簡単に推測されるため、英字や数字を組み合わせるのはもちろん、大文字や小文字、記号などを含めること、そして文字列に意味をもたせないことで情報窃取のリスクを軽減できます。また、パスワードの長さも重要な要素であり、一般的には12文字以上のパスワード設定が推奨されます。

 

・ID・パスワードを使い回さない

複数のサービスでID・パスワードを使い回している場合、ひとつのサービスで情報が漏えいすると、他のサービスにも不正アクセスされるリスクが高まります。IDとパスワードの使い回しはパスワードリスト攻撃の大きなリスク要因となるため、サービスごとに設定するパスワードを変更することが重要です。なお、パスワード管理ツールを利用することで、複数のパスワードを安全かつ効率的に管理できます。

 

・多要素認証を使用する

多要素認証とは、2つ以上の認証要素を組み合わせてユーザーの真正性を確認する認証方式です。たとえばID・パスワードだけでなく、スマートフォンを介した認証コード、あるいは指紋や網膜などの生体認証を取り入れることで強固なセキュリティを担保できます。仮にIDやパスワードを窃取されたとしても、他の認証要素を突破しなければログインできないため、パスワードリスト攻撃に対する強力な防御手段となります。

 

・脆弱性診断を実施する

脆弱性診断とは、専用のツールなどを使用し、サーバーやネットワーク、データベースなどに内在する脆弱性をスキャンするプロセスです。ITシステムやアプリケーション全体を網羅的に検査し、サイバー攻撃の起点になり得るセキュリティホールを特定します。定期的に脆弱性診断を実施し、発見されたセキュリティホールにパッチを適用することで強固なセキュリティレベルを維持できます。

 

・WAFを利用する

WAF(Web Application Firewall)は、アプリケーション層へのサイバー攻撃を防止するシステムです。Webアプリケーションはクライアントの要求に対して動的に応答する仕組みであり、不正なSQLコマンドの実行で情報を窃取される脆弱性が存在します。WAFはリクエストを検査して異常なパターンや入力を検知したり、特定のIPアドレスからの大量アクセスをブロックしたりできるため、アプリケーション層の脆弱性を狙うさまざまなサイバー攻撃を防止できます。

 

パスワードリスト攻撃を防ぐなら「Cloudbric WAF+(クラウドブリック・ワフプラス)」がおすすめ

「Cloudbric WAF+」は、Webアプリケーションを基盤とするシステムの脆弱性を保護し、不正アクセスやマルウェアなどのサイバー攻撃を遮断するセキュリティサービスです。Webトラフィック特性学習AIエンジンと論理演算(ロジック)検知エンジンを搭載しており、高度なサイバー攻撃も遮断できます。

また、セキュリティエキスパートのマネージドサービスがついているため、セキュリティ専門家がいなくても簡単に導入・運用できる点が大きなメリットです。パスワードリスト攻撃を含むサイバー攻撃から情報資産を保護するためにも、「Cloudbric WAF+」の導入を検討してみてはいかがでしょうか。

(参照:Cloudbric WAF+

 

まとめ

パスワードリスト攻撃は第三者がIDやパスワードを不正に入手し、本人になりすましてログインするサイバー攻撃です。パスワードリスト攻撃の標的となった場合、SNSアカウントの乗っ取りや機密情報の漏えい、クレジットカードの不正利用といった被害が起こりえます。パスワードリスト攻撃による被害を防止するためには、複雑なパスワードを設定して使い回しを避け、定期的な脆弱性診断を実施するとともに、WAFのようなセキュリティソリューションを活用することが大切です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら