不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

不動産情報サイト事業者連絡協議会(RSA)が発表した「2020不動産情報サイト利用者意識アンケート」調査結果によると、不動産情報を調べる際に利用したものでは、スマートフォンの利用率が92%で2014年以来最高となっています。PC利用率も昨年より増加し約50%と増加傾向にあることから、不動産・賃貸情報サイトを運営する企業において、WAFのようなWebセキュリティ対策がますます重要となっています。しかし、不動産や賃貸物件の防犯対策はしっかりしていても、自社のWebサイトのセキュリティ対策をしていないケースも少なくありません。

Webサイトは、現代ビジネスにおいて必須のツールとして積極的に活用されていますが、現在多くのWebサイトがサイバー攻撃のターゲットとなっています。そんなサイバー攻撃から自社の不動産・賃貸情報サイトを守るためにも、WebサーバやWebサイトを保護してくれるWAFを導入するなど、Webセキュリティ対策は重要です。本記事では、動産・賃貸情報サイトでのWebセキュリティ対策をテーマに解説しています。ぜひ、最後までご覧ください

 

不動産・賃貸情報サイトの特徴とは?Webセキュリティ対策の重要性について考える

ここでは、不動産・賃貸情報サイトでのWebセキュリティ対策の重要性について解説しています。まずは、不動産・賃貸情報サイトの特徴から、詳しくみていきましょう。

不動産・賃貸情報サイトの特徴

近年、サイバー攻撃のターゲットとなるのは、大企業のWebサイトだけに留まりません。また、セキュリティ対策が不十分なWebサイトはターゲットにされやすく、不動産・賃貸情報サイトが標的となるケースも数多く報告されています。不動産関連の会社の営業は、不動産や賃貸物件を見つけたユーザからお問い合わせを頂くことから始まります。そのきっかけに、Webサイトを活用している企業もあることでしょう。不動産・賃貸情報サイトを利用するメリットには、「物件を探す人の利用率が高い」「物件情報を簡単に紹介できる」などが挙げられますが、実はサイバー攻撃から狙われやすい特徴もみられます。不動産・賃貸情報サイトは、下記のような特徴から金銭目的のサイバー攻撃を受ける可能性があります。

  • 入力フォームで個人情報を入力する
  • 高額な物件を取り扱っている
  • 不特定多数の方がWebサイトに訪問する
  • 個人たけでなく法人との取引がある

もし、不動産・賃貸情報サイトがサイバー攻撃を受けセキュリティ対策が不十分であった場合、顧客情報や取引相手の情報が漏洩してしまう危険性があるため注意しましょう。

Webセキュリティ対策の重要性

Webサイトへのサイバー攻撃は以前からありましたが、最近はシステムやアプリケーション脆弱性など、Webセキュリティの弱点を狙った攻撃が増えています。IPA(情報処理推進機構)が2021年1月に発表した「ソフトウェア等の脆弱性情報に関する届出状況」によると、2020年第4四半期 における脆弱性の届け出件数は303件。そのうち、Webサイトの脆弱性を狙われたことによる被害の届け出件数は、全体の約7割超を占めています。

また、最近のWebサイト制作には、Webアプリケーションが使用されているケースがみられますが、データ被害を受けた約5割がWebアプリケーションの脆弱性を狙った攻撃に由来。そのため、不動産・賃貸情報サイトを狙った攻撃は、今後さらに増えることが予想されます。

Webサイトによる集客を継続するのであれば、システム上の脆弱性を常にチェックしておくだけでなく、いつ起こるか分からないWeb攻撃にた対し常にWebサイトを保護するWAFを導入するなど、セキュリティ対策も強固にしておくことが重要といえるでしょう。

 

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由とは

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由には、下記の3つが挙げられます。

  • 個人情報の漏洩リスクの防止
  • フィッシング詐欺対策
  • ITリテラシーを向上させるため

理由①|個人情報の漏洩リスクの防止

Webセキュリティ対策が不十分だと、不動産・賃貸情報サイトから個人情報が漏洩してしまう危険性があります。個人情報は、個人情報保護法において下記のように定義されています。個人情報とは、生存する個人に関する情報であって、当該情報に含まれる以下の情報のこととなります。

  • 氏名
  • 生年月日
  • 特定の個人を識別できる内容
  • 個人識別符号が含まれる媒体

顧客や取引先の個人情報が漏洩した場合、相手から損害賠償を求められる可能性があります。そのようなリスクを防止するためも、Webセキュリティ対策が必要です。

理由②|フィッシング詐欺対策

不動産・賃貸情報サイトでメールでの「お問い合わせ」をしている場合は、フィッシング詐欺のリスクも発生します。フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法のこと。つまり、クレジットカード番号やアカウント情報(ユーザID、パスワードなど)といった、重要な個人情報を盗み出す詐欺行為を指します。

自身が被害にあうだけでなく、顧客にWebサイトを詐称したフィッシングメールが送信されて被害にあう可能性もあります。本物の不動産・賃貸情報サイトとほとんど区別がつかない偽造サイトを作るなど、フィッシング詐欺は手口が巧妙になっています。そのため、フィッシング詐欺対策のためにも、Webセキュリティ対策はしっかりしておきましょう。

理由③|ITリテラシーを向上させるため

ITリテラシーとは、通信・ネットワーク・セキュリティなど、ITに紐付く要素を理解する能力や操作する能力という意味。IT業界では、インターネットの正しい使い方やインターネットを利用するうえでのモラルといった意味でも用いられています。

不動産業界でも、不動産・賃貸情報サイトのインターネットを利用したサービスを提供しているのであれば、モラルとしてITリテラシーの向上に努める必要があります。

 

不動産テックの導入が加速化!Webセキュリティの増強が不可欠

Webセキュリティ対策強化は、不動産テックの導入が加速化している業界内全体として必要なものとなっています。そもそも不動産テックとは、近年のITの発達や規制緩和の動きとともに、IT技術を不動産分野に応用した新しい技術・サービスが導入が増えたことで作られた造語のことで、「不動産」と「Technology(技術)」が掛け合わさってできた言葉です。不動産テックの先進国であるアメリカをはじめ、イギリスやインド、中国などのアジア諸国でも不動産テックを活用した事業やサービスが活発に行われています。しかし、日本の不動産テック化はそれらの国々より大幅に遅れています。

そんな日本では、遅れを取り戻す動きや新型コロナウイルス感染症の発生による影響から、不動産業界でも業務のオンライン化などのデジタル化が進み、現代では日本国内の不動産テック化が急加速しています。しかし、不動産テックの導入が進むほど、不動産・賃貸情報サイトがサイバー攻撃を受ける可能性も高まります。

他の業種に比べて不動産業界は特にIT化が遅れていたため、不動産・賃貸情報サイトのセキュリティ対策に疎かった企業も多いでしょう。しかし、不動産テックの導入は今後ますます加速することが予想されます。もしそうなれば、ITリテラシーが業界により一層求められるでしょう。また、高いレベルでの個人情報保護やWebセキュリティ対策が求められます。将来的にみても、不動産・賃貸情報サイトにおいてWebセキュリティ対策の重要性はますます高まることから、セキュリティ対策の強化は今からでも意識しておくことが大切です。

 

さいごに

今回は、不動産・賃貸情報サイトのWebセキュリティ対策が必要な理由について解説してきました。不動産・賃貸情報サイトは、もともとサイバー攻撃に狙われやすい特徴が揃っていますが、不動産テックの加速が予想される日本の不動産業界において、Webセキュリティ対策は必須です。Webセキュリティに関して、早めの対策を心掛けましょう。

 

Webセキュリティ・プラットフォーム・サービス

Cloudbric WAF+

クラウド型WAF

企業における現在のWebセキュリティ問題と、クラウド型WAFによる対策

現在はクラウドサービスをはじめとしたWeb上のサービス・セキュリティの進化が目覚しく、多くの企業がそれらのサービスを利用しています。一方で、企業の機密情報を狙うハッカー達によるサイバー攻撃も同じように巧妙・複雑化し、セキュリティとのいたちごっこが続いていて、情報漏洩をはじめとする多くの被害が、企業の規模を問わず発生しています。

本記事では、2020年に起きたサイバー攻撃の傾向と、国内企業のWebセキュリティが脅かされた実際の事例を紹介し、その対策となるWebセキュリティ対策についても見ていきたいと思います。

 

2020年のサイバー攻撃の傾向

2020年上半期にはコロナウイルスの世界的な流行があり、ハッカー達はそれに便乗して、各国の政府や医療機関をはじめ、膨大な個人情報や機密情報を持つ企業などを標的にサイバー攻撃を行うケースが急増しました。不特定多数にばらまくスパムメールだけでなく、特定の企業を標的としたランサムウェアによる計画的な攻撃が急増し、より戦略的で高額の身代金を要求する事件が多発する結果となりました。

特定の法人企業を対象としたサイバー攻撃の特徴として「侵入経路の多様化」、「クラウド環境特有の脅威」、「侵入後の内部活動の常套化」の3つが挙げられます。メールによる攻撃はもちろん、テレワーク環境への移行に伴い、VPNによる通信の際、正規のユーザのアカウント情報を入手して本人になりすまして侵入したり、VPN装置の脆弱性を悪用する方法で攻撃がおこなわれたり、Zoomのインストーラーにバックドア型マルウェアとボットが含まれたものなどが確認されています。Zoom自体は正規の物を利用して正常に使用できるだけに、サイバー攻撃であることに気付くのが難しいという特徴を持っています。

以上のように、コロナ禍によるテレワーク環境の弱点をついた、「末端である従業員のモバイル端末を狙った攻撃」と、「クラウドサービスを狙った攻撃」が激化しているのが現在のサイバー攻撃の特徴だと言えるでしょう。

 

国内企業のWebセキュリティが脅かされた最新の事例

2020年はコロナ禍によってテレワークでの仕事が広く普及しましたが、それと同時に多くの企業が自社のセキュリティ面を見直し、強化していくことを余儀なくされました。現在の企業の機密情報を守るセキュリティは、自社内のみのクローズドな環境で完結するわけではなく、会社から離れた遠隔地からでも仕事をおこなえる、オープンな環境作りが必要となっています。しかし、テレワークで仕事を行うという試みは、日本ではまだまだ始まったばかりであり、末端の従業員のセキュリティに対する意識も含め、日本のセキュリティ対策はまだまだハッカーのサイバー攻撃に狙われやすい、多数の穴が空いている状態だといって良いでしょう。実際に2020年は数多くのサイバー攻撃が日本企業を襲い、多数の被害が出てしまう結果となりました。ここでそれぞれの被害の具体例を紹介していきますので、今後の為の参考にしてみましょう。

・電子決済サービスの不正利用

2020年もっとも被害が大きかったのは、電子決済サービスの不正利用です。2020年9月、銀行口座の情報を不正に入手した犯人がドコモ口座を開設しその銀行口座と連携し、被害者を装うことによって銀行からドコモ口座にお金を不正に出金するという、セキュリティの穴を突いた方法で多額のお金を騙し取った事件です。

最初にこの手口が露見したのはドコモ口座ですが、その後PayPay、Kyash、LINE Payにおいても同様の不正出金が確認されました。この事件による被害総額は2,800万円以上と言われています。

・ゲームメーカーの顧客情報流出

2020年11月には大手ゲームメーカーであるカプコンが「Ragnar Locker」と呼ばれるランサムウェアによってサイバー攻撃を受け、およそ35万件もの顧客情報が流出したとされています。

ハッカー達は盗んだデータを暗号化し使えなくさせ、データの復旧と引き換えに多額の金銭を要求し、さらには内部の機密情報をインターネット上で暴露するという脅迫でもお金を要求するという、「二重搾取型」の攻撃であった点がこの事件の特徴です。

コロナ禍によってオンラインゲームの需要が高まってる中、ゲームメーカーはサイバー攻撃に狙われた際のダメージが大きいと踏んで、カプコンがハッカー達の標的にされたと考えられています。

・特別定額給付金を装ったフィッシング詐欺

2020年5月に10万円の特別定額給付金が給付され始める中、自治体を装ったメール、ホームページによるフィッシング詐欺が大量に発生しました。

フィッシング詐欺によってアカウントIDやパスワードといった個人情報から、クレジットカードの番号や口座番号などの情報まで引出そうとしたり、ATMを用いて手数料を騙しとろうとするなど、悪質な手口での詐欺が横行することとなりました。

 

クラウド型WAFとは

現在、上記したサイバー攻撃に対するWebセキュリティ対策として、「クラウド型WAF」のサービスが注目されています。軽くクラウド型WAFの説明を行うと、まずはじめに「WAF(Web Application Firewall)」とは、Webサイト上のアプリケーションに特化したファイアウォールのことを指します。ユーザーからの入力を受け付けや、動的なページを生成したりするタイプのWebサイトを、不正な攻撃から守ることが WAFの役割となります。

通常のファイアウォールと違い、アプリケーションレベルでデータの中身を解析することができ、アプリケーションにセキュリティ上の問題があったとしても、それを無害化でき、ISMS(組織内の情報の機密性、完全性、可用性の3つすべてをバランスよく管理するための枠組み)の実現や、PCIDSS(クレジットカード情報保護を目的として定められた、情報セキュリティ基準のこと)に準拠しているため企業の情報戦略面としても需要が高く、注目されていました。

そして、クラウド型WAFとは、その名の通りクラウド上に設置するセキュリティ対策ツールとなります。現在ではWAFといえば、このクラウド型WAFが主流となっています。それでは何故現在クラウド型WAFに大きな需要があるのか、クラウド型WAFのメリットと、利用する上での注意点を交えて紹介していきましょう。

・クラウド型WAFのメリット

クラウド型WAFはクラウドサービスであるため、通常のWAFよりも安価で導入することが可能となっています。またサービス契約後日を待たずして利用できるため、トラブルに巻き込まれた際すぐに問題に対処することが可能になっています。

そしてクラウドサービスの特徴として、運用をベンダーに任せることができます。社内でセキュリティの専門家を直接雇用する必要がなく、メンテナンスも一任できるため、運用面でも大きくコストカットすることが可能となっています。

・クラウド型WAFを導入する際に注意すること

コスト面と利便性において大きなメリットを持つクラウド型WAFですが、導入する際に注意することがあります。まず先述したようにベンダー側に運営を一任できることがメリットのひとつと書きましたが、裏を返せば自社が運営に干渉することはほとんどできないため、サービスの質はすべて契約したベンダー次第ということになります。ベンダーに運営を一任する以上、トラブル発生の際すぐに対処できる専門家の人数や対応範囲など、そのサポートの質がどれくらいなのかが選定の際に重要となります。

またクラウド型であるため、自社のシステムに合わせたカスタマイズを行うことが非常に困難となります。そのため少しでも自社のシステムに沿った形のクラウド型WAFサービスを選んで、契約することが求められます。

他にクラウド型WAFはベンダーごとに料金形態が異なります。トラフィック量に合わせて料金が増減するものや、固定料金の場合もあるので、性能やサービスの質などと合わせて考慮しましょう。

 

さいごに

2020年以降、コロナ禍とクラウドサービスの増加による、セキュリティ環境の変化を突いたサイバー攻撃の特徴と、その対策となるクラウド型WAFのメリット・デメリットと注意点を見ていきました。

クラウド型WAFは安価で導入のしやすいことから、これからのセキュリティ対策として非常に利用されるようになるサービスですが、その特徴をきちんと踏まえた上で、自社に最適なベンダー選びを行うことが求められます。今回紹介した事例と特徴を踏まえて、より最適なセキュリティ環境を構築できたら幸いです。

Cloudbric WAF+は企業向けにカスタマイズされたセキュリティサービスを提供します。クラウドから仮想専用サーバー、オンプレミスまでお客様のシステム環境に合わせて提供できます。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+

Secuurity Days 2021

3月3日~5日 「Security Days 2021」出展のお知らせ

この度、2021年3月3日(水)~5日(金)に開催される「Security Days 2021」に出展致します。Security Daysは、国内最大級のセキュリティ専門イベントです。

3月4日に、弊社代表取締役社長の陣が「 認知しなければ分からないサイバー脅威とユーザオリエンテッドなセキュリティの必然性~責任共有モデルに潜むクラウドの懸念点とビジネスを守る真の企業セキュリティとは~」と題し、登壇させていただきます。そして、一石五鳥のビジネス向けWebセキュリティ対策の 当社のWebセキュリティ・プラットフォーム・サービスの「クラウドブリック」についてご紹介させて頂きます。

参加費は無料でございますが、事前登録制となっておりますので、下記のURLよりお申込みのうえ、ご視聴いただきますようよろしくお願い致します。

 

【Security Days 2021 開催概要】

■ 日時:2021年3月3日(水)~5日(金)
■ 入場料:無料(事前登録制)
■ 会場:東京都千代田区丸の内2-7-2JPタワー・KITTE 4F JPタワーホール&カンファレンス
■ 公式Webサイト:https://f2ff.jp/event/secd-2021-01

 

【セミナー概要 】

■ テーマ:認知しなければ分からないサイバー脅威とユーザオリエンテッドなセキュリティの必然性~責任共有モデルに潜むクラウドの懸念点とビジネスを守る真の企業セキュリティとは~
■ 日頃:3月4日(木)15:25-16:05
■ 参加お申込みページ:https://f2ff.jp/introduction/4825?event_id=secd-2021-01-tokyo

ITトレンド WAF(Web Application Firewall)部門 2年連続No.1 (4)

Cloudbric WAF、2年連続でITトレンド年間ランキング 1位に

この度、当社が提供する「Cloudbric WAF」が、法人向けIT製品の比較・資料請求サイトの「ITトレンド」のWAF(Web Application Firewall)部門において、「年間ランキング2020」で2年連続1位を獲得しました。2020年は新型コロナの影響で多くの企業がテレワークの導入など新たな働き方にシフトし、オンラインでの対応が増えたことから、Web対策として簡単導入・運用できるクラウド型WAFサービスへのニーズ高まりました。ITトレンドは現在1900製品以上が掲載されている法人向けIT製品の比較・請求請求サイトで、2020年1月1日~11月30日までの期間の資料請求数を集計した今回のランキングで、Cloudbric WAFが最も支持されたWAF製品として選ばれました。

Cloudbric WAFは、Webビジネスにおけるセキュリティの更なる強化及び安定的な運用が図れる 一石五鳥のWebセキュリティ対策です。5つの必須サービスを統合パッケージとして提供しております。

  1. WAFサービス:日本・韓国・米国にて特許済みの自社開発の論理演算検知基盤エンジンに自ら攻撃を学習するAIエンジンが加わり、最新かつ高度の未知の脅威まで検知・遮断します。
  2. DDoS対策サービス:L3/4/7に対し40Gbps規模の攻撃まで検知・対応します。
  3. SSL証明書サービス:SSL更新、管理を必要としない常時SSL化を実現できます。
  4. 脅威IP遮断サービス:56ヵ国700,000サイトから収集された脅威インテリジェンスをもとに、脅威IPとして定義されたIPを遮断します。
  5. 悪性ボット遮断サービス:スパイウェア、アドウェア、スパムボットなどの悪性ボットを遮断します。

当社は今後も、サービスの品質向上につとめ、お客様に選ばれ続けることを目指してサービスを提供させていただきます。

ITトレンド年間ランキング2020の詳細はこちら
https://it-trend.jp/award/2020/waf?r=award2020-tab

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その1

サイバー攻撃者の主な標的になっているWebアプリケーションエリアは企業の核心情報に近接しています。そのため徹底したセキュルティ対策を立てることが何よりも重要です。急激に変化しつつある昨今のIT環境において、「果たしてどのようなセキュリティ対策をとるべきなのか」という問題を解くことはそう簡単ではありません。しかし企業はキュリティトレンドへ常に注目し、あらゆるサイバー攻撃に対抗できる対策について考え続ける必要があります。

そこで今回は、2021年企業が注目すべきWebアプリケーションセキュリティトレンドを2回にわたって説明したいと思います。

 

1. マシンラーニング・AI

医療・金融・製造等、様々な産業で使われているマシンラーニングとAI技術がもはやセキュリティ分野にも積極的に活用されており、この傾向は2021年以降にも堅調な推移が見込まれます。現在、セキュリティ分野ではAIが人の代わりに悪性コードの判明・分析を行い、誤検知率を低減させ、管理者の管理負担を軽減させる役割を果たしています。

2021年には以下の目標を目指して取り組みを続けていくと思われます。今後もAI・マシンラーニングによるセキュリティパフォーマンスは益々向上すると推測できるでしょう。

  • セキュリティ脅威検知技術の柔軟性向上
  • Webアプリケーションでの作業をモニタリングし、不正プログラムを検知
  • データの処理及び分析機能の向上
  • Webアプリケーションに発生できる脅威を予測

一方、これらの技術はセキュリティ分野だけでなく、サイバー攻撃を行う側にも利用されています。企業はIT技術の進歩がサイバー攻撃者に逆手に取られる可能性にも常に警戒し、対応策を講じておく必要があります。

 

2. クラウドコンピューティング・サーバレース環境

クラウドへ移行する企業と組織が多くなっている現在、急速に進むクラウドシフトと共にサーバレース環境も成長し続けています。
サーバレース環境とは、サーバの構築やメンテナンスの必要なく、アプリケーション機能を開発、実行、管理できるクラウドコンピューティングモデルの1つです。体表的にはFaaS (Function as a Service) があります。

サーバレース環境の導入におけるメリット

  • サーバー管理はサーバレスプロバイダーがすべてやってくれる
  • サーバー導入や管理などが一切不要になるため、開発の際プログラムを書く作業に集中できる
  • 使用時間と容量に合わせて費用が発生するため、費用対効果が高い

しかし、サーバレス環境ではさまざまなイベントソース(HTTP API、クラウドストレージ、IoTのデバイス間通信など)によって攻撃範囲が拡張されます。また、サーバレスは新規プラットフォームであるため、現在サーバレースを標的とした攻撃パターン等の情報は少ない状況です。企業はWebアプリケーションが見知らぬ脅威に遭わないために新しい技術導入にも注意を深める必要があります。

 

3. API統合

API(Application Programming Interface、アプリケーション・プログラミング・インターフェイス)は、異なるアプリケーション間の相互作用を可能にするために標準化されたツール、定義、プロトコルを意味します。このAPIを統合するということは、「2つ以上のアプリケーションがAPIを通じて互いにデータを交換できるようにする結び付き」だといえます。 このAPI統合によるメリットを簡単にご紹介すると以下の通りです。

  • ビジネスサービスの速度や生産性が向上
  • ユーザとパートナーにAPIを提供することによって、関連データが円滑に共有され顧客の満足度を向上

それぞれのアプリケーションがすべてつながるIT環境において、API統合の重要性は更に高まるはずです。しかし、API統合によって共用・個人ネットワークまたはクラウドネットワーク上でAPIが露出される可能性も高くなっており、これがサイバー攻撃者にとっては新たな機会になるかもしれません。 安全が保証できないAPIエンドポイントが深刻なデータ侵害のきっかけになりうることに注意を深める必要があります。

 

4. 企業のデータサイエンス

データサイエンスとはデータの中で有意義な情報と知識を探索・解析し、データの新たな価値を発見する学問分野のことです。データに基づいた合理的な意思決定を助けるデータサイエンスは、企業の経営活動に欠かせない学問分野となっています。セキュリティ分野においても、数えきれないIT環境の情報を収集·分析してこそ、より安全で徹底したセキュリティ対策を立てられるため、データサイエンスの重要度は高くなっております。

なお、データサイエンスがWebアプリケーションのセキュリティに提供するメリットは次の通りです。

  • セキュリティ脅威検知機能向上
  • 膨大なデータを分析し、攻撃者の行動を分析
  • データ保護(データサイエンスがマシンラーニングと結合する場合)

データサイエンスを踏まえた意思決定により、企業はサイバー攻撃を予測し、重要情報を守るセキュリティを実現できます。

 

5. 浸透テスト

企業は浸透テストを通じて「攻撃者の手口」や「攻撃者に狙われやすいセキュリティ脆弱性」を調べられます。浸透テストとは、ホワイトハッカーを通じて、実際の攻撃行為のシミュレーションを行うことです。浸透テストは情報セキュリティレベルを能動的に評価できる次のような情報を提供するため、Webアプリケーションのセキュリティのトレンドとなっています。

浸透テストが提供する情報

  • アプリケーションの脆弱性
  • アクセスされた重要データ
  • テスターがシステム内で検知されなかった時間

「敵を知り、己を知れば百戦危うからず」という諺のように、ハッカーが侵入した状況を意図的につくって、そこから攻撃者の手口や保護対象のセキュルティ脆弱性、敏感なデータなどを識別したら、実際の攻撃にも対応できるセキュアな環境を構成することができるでしょう。

 

さいごに

企業は、サイバー攻撃者の手口を用いる浸透テストや有意義な情報を収集・分析するデータサイエンスに基づいて先制的防御システムを構築できます。しかし、クラウド、サーバレス環境やAPI などのビズネス活動の利便性を増進させる技術が、サイバー攻撃に利用される場合もあることに警戒する必要があります。また、セキュリティ強化に使われるAI•マシンラーニングなどのIT技術が、サイバー攻撃者にとっても攻撃を高度化させる材料として使われる可能性も考えておくべきです。

次回のWebアプリケーションのセキュリティトレンドでも、注目すべきのセキュリティトレンドをご紹介いたしますので、一読をお願いいたします。

cloudbric blog post

【2021年】クラウドブリック Webセミナー開催のご案内

2021年クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。

本セミナーは、新規機能の使い方、仕様変更時のご案内、セキュリティトレンド情報、導入事例のご紹介などCloudbricをご利用頂く中で有効な情報をお届けいたします。

■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容 対象
1月 Cloudbricセキュリティ・プラットフォームのご紹介 セキュリティ・プラットフォーム・サービスに進化したCloudbricについて、新規機能や注目ポイントなどをご紹介致します。 パートナー様
/エンドユーザー様
2月 サービスポリシーのご案内【トラフィック超過時の対応プロセス】 サービスご利用中、トラフィックがご契約プランのピーク時のトラフィックを超過した場合の対応についてご案内致します。 パートナー様
3月 Cloudbricが選ばれている理由とは 日本国内の競合他社について、機能・サービス・価格面での比較をし、営業時のポイントをご説明致します。 パートナー様
4月 Cloudbric活用法【パートナー専用管理サイト】Advanced サービス利用開始後のアカウント作成からセキュリティサービス運用開始までのプロセスにおいて、パートナー様の対応について詳しくご案内致します。 パートナー様
5月 サービスポリシーのご案内【価格ポリシー】 Cloudbricの価格ポリシーについて、追加費用を中心にご案内いたします。 パートナー様
6月 導入実績・導入事例のご紹介【2021年上半期】 Cloudbricの2021年上半期の導入実績および導入事例についてご紹介いたします。 パートナー様
/エンドユーザー様
7月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
8月 よくあるご質問【営業面】 営業時に、Cloudbricの導入を検討されるお客様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
9月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
10月 よくあるご質問【サービス運用面】 サービスご利用中に、エンドユーザ様およびパートナー様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
11月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
12月 今年のCloudbric 2021年の新規機能、仕様変更など、今年のCloudbricにあった変化についてご案内致します。 パートナー様
/エンドユーザー様
wizlynx group

クラウドブリック、wizlynx group社によるWebアプリケーションペネトレーションテストを実施、Web脆弱性に対する検知能力を検証

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は9月28日、自社が提供するクラウド型WAF「クラウドブリック(Cloudbric)」(サービスサイト:http://139.162.127.206/jp)について、スイスのセキュリティ専門企業のwizlynx group社によるWebアプリケーションペネトレーションテスト(侵入テスト)で優秀な成績を納めたことを明らかにした。

一般社団法人JPCERTコーディネーションセンターによると、2020年4月から6月まで発生したサイバーセキュリティインシデント報告件数は10,416件で、前四半期の6,510件からおよそ60%増加したと報告され、Webセキュリティに対しさらに徹底したセキュリティ対策が求められている。

wizlynx group社はインフラ及びネットワーク情報セキュリティソリューション分野で豊富な経験を持っている。アメリカ、ドイツなど7か所の海外拠点を有し、全世界にサイバーセキュリティサービスを提供する企業である。特に、セキュリティ業界で認められた高いレベルのセキュリティ監査及びペネトレーションテストのサービスを提供している。

今回のテストは、クラウドブリックの性能を検証し、日本及びグローバル市場においての競争力をさらに強固にするために依頼したもので、セキュリティ教育機関の SANSトレーニングを修了し、CRESTやCIACなど、セキュリティ資格を獲得している専門家たちによる検証が行われた。また、オープンウェブアプリケーション・セキュリティプロジェクト(OWASP)テスティングガイドに基づき、オープンソースセキュリティテスト方法論マニュアル(OSSTMM)及びペネトレーションテスト実行基準(PTES)などのセキュリティ基準に沿ったペネトレーションテスト(侵入テスト)が行われた。

テストでは、合計1,738回の攻撃ペイロードを適用し、全ての攻撃がクラウドブリックにより検知・遮断されることを確認した。これにより、Webアプリケーションに対する最も重大なセキュリティリスクのOWASP Top10及び様々な脆弱性に対応可能であることが証明された。

ペンタセキュリティ日本法人代表取締役社長の陣は、「最高レベルのwizlynx社のペネトレーションテストで優秀な成績を納めることで、クラウドブリックの優秀な性能が検証されたと思う」とし「ハッカーの手口がますます高度化し巧妙化する中、我々は今回の結果にとどまらず、クラウドブリックのさらなる性能向上を目指して努力していきたい。また、18カ国28カ所のリージョンから、日本及びグローバル市場拡大に向けてクラウドブリックの競争力を強固にしていきたい」と述べた。

thumbnail

WAF、シグネチャー方式とロジックベースの違いとは?

会員制サイトの登録機能からオンライン決済機能まで、もはやWebアプリケーションが使用されていないWebサイトを探す方が難しくなった時代です。様々の情報が蓄積されるゆえ、さらに厳重なセキュリティ対策が必要となっています。Webアプリケーションファイアーウォール(WAF)はその代表例として有名であり、実際、様々なWAF製品やサービスが市場に出回っています。しかし、専門知識が必要で導入に時間やコストなどがかかるなど、セキュリティ対策を選定する、という事は決して容易ではありません。市場に多数の製品が並んでいれば、その難易度はなおさら上がります。そこで本日は、WAFの導入を検討するシステム担当者の役に立つようにWAFを選ぶ際のチェックポイントを紹介したいと思います。WAFは大きく「シグネチャー方式」と「ロジックベース方式」に分けられますが、特にそれについて詳しく説明したいと思います。

 

名簿を見て判断する、シグネチャー方式のWAF

現在販売されている大半のWAFは「シグネチャー」に従い攻撃を検知・遮断します。簡単に説明すると、「名簿を見て判断する」形だと言えます。各シグネチャーには既に知れた攻撃の構成要素である「パターン」が含まれています。WAFは全てのリクエストとサーバの応答をシグネチャーと比較し、一致するかを確認します。そして一致するパターンが確認された場合、予め設定されたセキュリティポリシーに従って警告を行ったり、トラフィックを完全に遮断するなどの措置を取ります。

シグネチャー方式のメリット

シグネチャー方式の場合、ベンダーが新たに発見された攻撃に対して迅速にアップデートを行えるというメリットを持ちます。一般的に、一つのシグネチャーは一つの攻撃に含まれる特定のパターンを定義します。そのため運営メカニズムが比較的簡単であり、ユーザが「特定の位置で特定の攻撃だけを遮断」しようとする場合に効果的です。また、特定の攻撃パターンのみを定義するため、誤検知率が比較的低いという特徴を持ちます。

 

シグネチャー方式のデメリット

新たな攻撃が発見される度にシグネチャーを追加しなければいけない、というのがシグネチャー方式の一番のデメリットです。つまり、頻繁なアップデートが必要になるという事です。最近には一刻ごとに新たな攻撃が発見されており、多数のシグネチャーが必要となります。しかし、全ての攻撃を記録し、WAFに適用するのは事実上不可能です。莫大なサーバのリソースを占領するとともに、Webアプリケーションの性能を大きく落とす結果につながるからです。また、シグネチャーが作成されていない「ゼロデイ攻撃」など、未知の攻撃に対応できないというデメリットにも注目する必要があります。

他にも、不要なシグネチャーの数が増えるにつれ、正常なトラフィックを遮断する恐れが増えるというデメリットも存在します。これは誤検知率の上昇に繋がります。そのため、必要なシグネチャーのみを維持する必要があるでしょう。しかし、各シグネチャーの必要性を全て判断し適用できるのか、という部分が疑問として残ります。このような問題を解決するため、一部のベンダーは初期に数週間の機械学習過程を進め、アプリケーション環境を研究したりもします。しかし残念ながら、いつも最適な結果が導き出されるわけではなく、コストの上昇という悪影響を及ぼしたりもします。

 

ルールをベースに、知能的に検知するロジックベースのWAF

ロジックベースのWAFは「事前に定めたルール、つまりロジックをベースに攻撃を検知する方法」です。シグネチャー方式に比べさらにテクノロジーに依存し、人手はほとんど必要としません。一般的にシグネチャーは攻撃のソースコードで構成されますが、ルール基盤検知を活用するWAFは攻撃パターンを記録せず稼働されます。その代わり、様々な攻撃パターンからルールを導き出すのです。ロジックベースの検知エンジンを通じソースコードのパターンを分析し、主に含まれているコードを探し出します。そのため、たった一つのルールだけでも数百のシグネチャーが含む多数の攻撃を定義することが出来るのです。つまり、ルールは「パターンのパターン」だと言えます。

ロジックベースWAFのメリット

Webアプリケーションの環境によりますが、シグネチャー方式は2,000から8,000個以上までのシグネチャーを必要とします。しかしロジックベースWAFの場合、同じ量の攻撃を検知するのにわずか数十個のルールのみを要します。そのため、より速い処理速度と高い性能を保証できる点が最大のメリットとなります。

ペンタセキュリティの研究チームが行った一連のテストによると、27個のルールを使用したロジックベースのWAFは攻撃の95%を遮断するのに成功しました。これは8,000個のシグネチャーを適用したものと同様の結果です。また、何も設置されていない場合と比べ、ロジックベースWAFの場合は処理速度が20%ダウンした半面、シグネチャー方式の場合は50%ダウンしたといいます。

ロジックベースのWAFが持つもう一つの特徴は、シグネチャー方式のWAFに比べ維持・管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、以後追加アップデートをほぼ要しません。ベンダーは極めて必要とされる場合だけ既存のルールをアップデートし、新たなルールを追加します。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃からも対応できます。

 

ロジックベースWAFのデメリット

一部の人たちは、介入する余地があるということでシグネチャー方式のWAFを好む場合があります。また、ロジックベースのWAFは人工知能に対する依存度が比較的高いという特徴を持ちますが、そのためコントロールするのが難しいという意見もあります。その他にも、膨大なシグネチャーリストを確認するのに慣れすぎて、「少ないルールだけでもしっかりとセキュリティ対策を取れるのか」と疑う意見もあります。まとめると、人工知能に対する不安や不信のみがロジックベースWAFのデメリットです。

 

まとめ

各企業の状況は違えど、セキュリティ対策を求められているという部分は変わりません。ハッカーの手口が進化を続けている中、セキュリティ対策もまた迅速に進化する必要があるでしょう。しかし、企業がリソースを注ぐべき分野はますます増えており、状況にあったものを選ぶ必要があります。その中で、いったん設置すればリソースをほぼ要しないロジックベースWAFもまた、有効な選択肢となるでしょう。Clourbricはロジックベース検知エンジンを搭載しながらも、手軽に運用できるクラウド型WAFです。高レベルのセキュリティ技術と合理的な価格、そして利便性までを満たします。ぜひ無償トライアルでCloudbricをご体験ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

DDoS Thumbnail

狙われているからこそ知るべき、DDoS攻撃の4つの種類

もはや全てのWebサイトがハッカーに狙われているといっても過言ではない時代です。特にDDoS攻撃は、政府機関や自治体からエンタープライズのWebサイトに至るまで、対象や規模に関係なく被害を起こしています。しかし、被害をただ受けているわけにはいきません。「敵を知り己を知れば百戦危うからず」という言葉の通り、敵を正しく理解することこそが被害を防ぐ近道なのです。そこで今回は、DDoS攻撃を4つの種類に分類し詳しく紹介したいと思います。

 

手口によって分類される、DDoS攻撃の4つの種類

DDoS(Distributed Denial of Service)攻撃とは普通「数十台から数百万代のPCをリモート操作し、特定のWebサイトに同時に接続させ、短時間で過負荷を起こす攻撃」を意味します。最近シャープがマスク販売を始めた際、Webサイトがダウンした(引用: PHILE WEB)事件をご存知でしょうか。このように多数の人が一つのサイトにアクセスする場合、サーバの能力ではすべてのリクエストを処理できずWebサイトの動作が止まる、というケースが頻繁に起きています。そして、そのような現象を人為的に作り出すのがDDoS攻撃です。

しかし、すべてのDDoS攻撃が同じような形で行われるわけではありません。その手口によって「ボリューム攻撃」、「プロトコルを狙った攻撃」、「アプリケーション層攻撃」、そして「混合型攻撃」に分けられます。

ボリューム攻撃

ボリューム攻撃はDDoS攻撃の中でも最も一般的な形です。正常なトラフィックさえもWebサイトに接続できないようにすることが目的です。ハッカーはインターネットに繋がった多数のPCを利用します。そして、目標とするサイトで定められている量以上のトラフィックを送信し、サーバが使うことのできる帯域幅を封鎖します。

代表的な例としては、「UDP Floods」を挙げることができます。UDP(User Datagram Protocol)とは、セッションを持たない、つまり応答を待たないネットワークプロトコルです。IP(Internet Protocol)製品群には必ず存在するのでハッカーに利用されやすい、という特徴を持ちます。ハッカーはUDP Floodsを実行するため、まず対象となるホストのポットを奪取し、さらに多くのUDPが受信されるようにします。その結果、リクエストをシステムが処理できないほど受信されるトラフィックが増え、サーバがダウンします。

プロトコルを狙った攻撃

プロトコルを狙った攻撃(以下プロトコル攻撃)はボリューム攻撃と違い、帯域幅ではなくサーバのリソースを消耗させる形をとります。またその攻撃目標も、ファイアウォールやロードバランサなど、サーバとWebサイトを繋ぐ「中間通信装備」をターゲットとします。ハッカーは対象となるサーバのリソースを使用するため、まず不正なプロトコル要請を作成し、Webサイトとサーバのリソースを掌握します。
代表的な例としては、「Smurf DDoS」を挙げることができます。ハッカーは目標となるサーバから奪取したIPを含む、ICMP(Internet Control Message Protocol)パケットを悪用します。特にその中でも、メッセージおよびデータパケットをネットワークシステムに転送する際に使用される「IPブロードキャストアドレス」が主に利用されます。基本的にネットワークに存在するほとんどの装置が応答するように設定されている、という特徴を持ちます。ハッカーはまず、目標とする装備のネットワークにターゲットとなるデバイスのIPブロードキャストアドレスを転送します。よってネットワークに存在するデバイスの数が十分に多い場合、被害者のデバイスにトラフィックが集中し、サーバがダウンします。

アプリケーション層攻撃

アプリケーション層攻撃は、その名の通りアプリケーションの脆弱性を攻撃する形です。Apache、WindowsやOpen BSD等のアプリケーションが主なターゲットとされます。一般的にボリューム攻撃およびプロトコル攻撃よりも少ないリソースを要します。また、特定のアプリケーションを対象にするため、把握しにくい場合があります。主にオンラインコマースなど、特定のWebサイト機能をターゲットに行われるケースが多数発見されています。ハッカーはユーザのトラフィック行動を模倣し、一見正常に見える多数のリクエストを送信してサーバを麻痺させます。

代表的な例としては、「Slowloris」を挙げることができます。一つのWebサーバを通じ、他のサーバも麻痺させる手口です。ハッカーが利用するのは「HTTPヘッダ」です。HTTPヘッダはクライアントとサーバが情報を交換できるよう許可する役割を随行します。ハッカーはまず、ターゲットとなるサーバに接続し部分的なリクエストのみを転送して、多数のサーバへの接続をできるだけ長く保留させます。その後、多数のHTTPヘッダに対する部分的なリクエストのみを持続的に転送します。サーバが処理できるリクエストの最大値を超えるにつれ、リクエストを処理できないようになり、サーバがダウンします。

混合型攻撃

多数のDDoS攻撃はボリューム攻撃、プロトコル攻撃、そしてアプリケーション層攻撃という3つの分類に収まります。しかし、DDoS攻撃は毎分毎秒精密に、そしてさらに巧妙に進化しているので、全ての攻撃をその中に含めるのは不可能です。実際、混合型攻撃は最近最も多く発見されている手口です。その言葉通り、二つ以上の攻撃を重ねた形で行われます。

代表的な例としては、プロトコル攻撃を仕掛けて注意を散らし、アプリケーション層攻撃を追加的に行うケースを挙げることができます。アプリケーションの脆弱性を探し出す過程には時間がかかるため、まずターゲットを混乱させた後時間を稼ぐのです。その他にも多数の混合型攻撃が発見されており、その頻度や被害規模が増加している状況です。

 

最後に

DDoS攻撃は、この先にも絶えず発生するでしょう。その被害から逃れるには、「うちのWebサイトは安全だろう」と言った甘い考え方から脱却する必要があります。徹底した備えこそがWebサイトと企業の情報を守る第一歩です。DDoS対策として企業側で最も簡単に取れる対策としては、Webアプリケーションファイアウォール(WAF)の導入が薦められます。

ペンタセキュリティはWebアプリケーションレベルでのDDoS攻撃へ対応できるクラウド型WAF、「クラウドブリック」を提供しています。高セキュリティを保ちながらも、中小企業でも手軽に導入できます。DDoS攻撃を防御するための合理的な対策を、下のリンクを通じご確認ください。

thumbnail

ハッカーの高速道路、知らぬ間に組み込まれる「バックドア」

「泥棒」という言葉に、どのようなイメージを思い浮かばれますか。顔を隠し風呂敷を背負って、裏口を静かに通り過ぎて家に侵入するキャラクターが泥棒の代名詞ですが、サイバー空間での泥棒であるハッカーにも同じようなイメージが当てはまります。Webサイトに忍び込み、金銭を狙って情報を盗むハッカーは「バックドア」と呼ばれる裏口を設置し、忍び込んで情報を奪取するのです。そこで今日は、バックドアとは何か、そしてどのようなセキュリティ対策をとれるのかを紹介します。

 

ハッカーの代表的な手口、「バックドア」とは

「バックドア」とは正規の認証プロセスを経ず迂回して、製品やシステムまたはアプリケーションに接続する方法です。主に設計や開発の段階で意図的に作られます。しかし、ハッカーはこれを悪用し情報を奪取するための「通路」として利用します。特にシステムネットワークを経由して他のPCを攻撃する「リモート攻撃」の手段としてよく使われています。デバイスの持ち主に認識されることなくシステムに侵入できるので、被害が実際に発生しないとバックドアの存在を認識できないケースが多く、とてつもない被害が発生しかねます。逆にハッカーにとっては、いったん設置に成功さえすれば楽に大きな利益を狙えるということになるのです。そのためハッカーは、バックドアを設置するため様々な手段を駆使します。代表的な2つの手段を見てみましょう。

トロイの木馬

ギリシャ神話によると、ギリシャ連合軍はトロイを滅ぼすため「トロイの木馬」を建造したそうです。外見は無害なものに見えましたが、中には武装した兵士が潜んでいました。サイバー空間でのトロイの木馬も、同じように作動します。一見「使えるプログラム」に見えますが、実際にはユーザをだますソフトウェアが潜んでいるのです。主にメールの添付ファイルやWeb情でダウンロードできるファイルとして流通され、ユーザが何も考えず実行するとすぐさまバックドアを設置します。ScanNetSecurityによると、最近にはPCプログラムの形だけではなくスマホアプリの形でも流通されるなどその手口がさらに巧妙化されており、格別な注意が必要とされます。

Webアプリケーションを狙った攻撃

Webアプリケーションの脆弱性を狙ったハッキングは、Webの使用頻度が増加するにつれその威勢を増しています。OWASP TOP10は、その多数がWebサイトのコードを悪意的に改ざんして隙を狙う形だと報告しています。代表的な例にはコードに対するハッキングである「SQL Injection」を挙げることができます。これはバックドアを設置するための足がかりになりえます。例えば、トロイの木馬が含まれたプログラムをWebサイトに不正アップロードすることなどが可能になります。その他にもCross-Site Scripting(XSS)を通じバックドアを設置するソフトウェアを拡散するなど、様々な手段がバックドアを設置するため使用されています。

このような手段で設置されるバックドアは単に情報を奪取するだけではなく、他のデバイスに対する攻撃に使われるなど、様々な被害をもたらす可能性があります。

 

ハッカーの通行を防ぐ方法

あなたならどうやって裏口から潜みこむ泥棒を防ぎますか。裏口を閉鎖してしまう方法もあれば、セキュリティ業者と契約し監視カメラを設置するという方法もあります。しかし、「物理的な通路」が目に見えない、サイバー空間のハッカーはどう防ぐのでしょうか。実は、ハッカーの通行を防ぐ方法は驚くほど現実世界と似ています。

裏口を閉鎖する: 既に設置されたバックドアを塞ぐ方法

既に設置されたバックドアを除去する方法は、現実世界で裏口を無くす方法に当てはまります。現在使用されているほとんどのOSとソフトウェアにはセキュリティーホールが点在しており、100%安全だと言い切れない状況です。例えば、マイクロソフトは2020年8月にもWindowsを含む多数のソフトウェアから脆弱性が発見されたと報告しています(引用: Impress Watch)。もちろん開発する側も設計過程から脆弱性を排除するための手を加えていますが、それにも関わらず新しい脆弱性が発見されているのです。よって、常に最新パッチやアップデートを適用する必要があります。特にベンダーから公開された脆弱性は多数のハッカーに目を付けられる可能性があるので、できるだけ早く対処する必要があります。

監視カメラを設置する: バックドアを未然に防ぐ方法

泥棒を防ぐために最も徹底しなければいけないのは、「泥棒に対する意識」です。常に鍵の掛かり具合を確認し、窓がよく閉まっているのかを確認するなど注意を注ぐ必要があります。ハッカーに対しても、同じことが言えます。「セキュリティに対する意識」が重要なのです。怪しいWebサイトに近づかず、正体が確認できないファイルを開かないという事を徹底するべきです。

しかし、一個人がいくら努力をしようと、一から百まで全ての可能性を考慮するのはほぼ不可能です。そのため、現実世界ではセキュリティ企業と契約し、監視カメラを設置するなど様々なセキュリティ対策を取ります。サイバー空間でも、同じくセキュリティ企業と契約することができます。そして一番怪しいと思われる場所に監視カメラを設置するように、一番危険な領域からセキュリティ対策を取っていくのです。よって、最近攻撃が最も多く発生しているWebアプリケーションの安全を守ることが、もっとも合理的な判断になるでしょう。

WAF(Webアプリケーションファイアーウォール)はWebアプリケーションを防御するためのセキュリティ対策であり、ネットワーク上で防御と監視を同時に行います。単純に脆弱性を保護するだけではなく、通信を監視し怪しい接近を遮断するのです。最新パッチを適用しづらいWebアプリケーションを守り、SQL InjectionやXSSなどバックドアを設置するため用いられる攻撃の存在を監視します。そのため、WAFはWebアプリケーションを通じバックドアを設置しようとするハッカーを防ぐための、最も総合的で最も確実な対策だと言えるでしょう。

 

最後に

ハッカーの攻撃は、現実世界の泥棒がもたらすものよりもはるかに莫大な被害をもたらします。特に自分のパソコンなどにバックドアが設置された場合、一回に止まらずいつでも情報を盗まれる可能性が高く、他人を攻撃する踏み台として利用される可能性も十分存在するので、被害規模は予想すらできません。そのため、バックドアに対して格別な注意を注ぐ必要があるでしょう。
ペンタセキュリティは簡単に利用できるクラウド型WAF「クラウドブリック」を提供しています。Webアプリケーションの脆弱性を通じバックドアを設置しようとするハッカーを効率的に防ぎ、リモート攻撃までも防御する最善の対策です。リンクを通じ、詳細をご確認ください。