Web サイトの脆弱性を突かれ、攻撃者に Webサービスの情報を盗み出されている事例が後を断ちません。今回は代表的な攻撃手法の流れの解説と、実際に起こっている事例を踏まえ、Webサイトの脆弱性に関するサイバー攻撃についてまとめてみました。
一般的なWebアプリケーションへのサイバー攻撃の流れ
攻撃者はまず、企業のWebサービスのフロントにあるWebサーバーに対して、利用しているOSやミドルウェアなどの種類とバージョンの調査を行います。そして攻撃者は取得したWeb アプリケーションフレームワークの脆弱性情報を利用して、Webサーバーに対して攻撃を試みるのが一般的な流れです。
データベースへのアクセス
1.Webで利用するOS(マイクロソフト/Linux)やミドルウェア(Java、Flash等)の情報を把握し、脆弱性に関する情報を入手
2.攻撃者がWebアプリケーションの脆弱性を突いて不正にアクセス
3.攻撃者がデータベースに対して不正にアクセス
4.攻撃者がサーバーをのっとり、機密情報や個人情報の搾取を行う
攻撃者は、WebサーバーからデータベースサーバーにOSのコマンドを実行する攻撃が可能であることを突き止め、これを悪用して、データベースの中の顧客情報を盗み出します。こうしたインシデントはWeb サーバーで利用しているミドルウェアにパッチを適用していないことで発生します。ただし的確にパッチを宛てていても「ゼロデイ攻撃」を受ければ、こうした攻撃には無防備です。
ゼロデイ攻撃とは?
ゼロデイ攻撃は、脆弱性が発見されて修正プログラムが提供される日(One day)より前にその脆弱性を攻略する攻撃のことを言います。ゼロデイは脆弱性を解消する手段がない状態で脅威にさらされる状況を指します。ゼロデイ攻撃の原因は、脆弱性が発見されてから修正されるまでのタイムラグです。どうしても脆弱性の発見から修正まで時間差が発生してしまうと、ユーザによる防御も難しくなり、通常の運用でのパッチの適用等でこうした攻撃を防ぐことは難しくなります。
例えば企業の担当者が定期的に脆弱性情報を収集して、パッチを適用するという運用設計ではこうした攻撃は完全に防ぎきる事には限界があります。情報収集がソフトウエアベンダー頼みで、緊急パッチの適用基準や方針が決まっていなかった場合、緊急対応を想定した運用設計を臨機応変に行う事は難しいといえます。
クロスサイトスクリプティングによるCookieの不正利用
クロスサイトスクリプティング(Cross Site Scripting、XSS)は、Webサイト閲覧者側がWebページを制作することのできる掲示板やSNS等の動的サイトに対して、自身が制作した不正なスクリプトを挿入することにより起こすサイバー攻撃です。2つのサイトを横切る(クロスする)ことから、クロスサイトスクリプティングと呼ばれています。
1.Webで利用するOS(マイクロソフト/Linux)やミドルウェア(Java、Flash等)の情報を把握し、脆弱性に関する情報を入手
3.Webアプリの利用者が攻撃者の用意したURLをクリックする
4.Webアプリの利用者のブラウザで不正なスクリプトが実行される
5.不正なスクリプトにより利用者のCookieが攻撃者に送信され取得される
6.利用者のCookieが攻撃者の手に渡ることで、Cookie内にある利用者のセッション情報がそのまま使用されてしまい、利用者の名をかたってサービスを使用されてしまう
7.また攻撃者の手により、マルウェア感染や情報漏えい等ユーザに対して様々な被害が発生する
クロスサイトスクリプティングの被害に遭う大元の原因は、攻撃者が自社サイトに不正なスクリプトを挿入させられる余地を与えてしまっていることです。クロスサイトスクリプティングに対する脆弱性を持ったまま可動しているサイトが放置されているため、被害が発生、拡大してしまいます。脆弱性を利用するために、不正スクリプトを含んだ攻撃用URLを作りこむのが攻撃者の常套手段です。スクリプトの文章には、標的サイトとは別のサイトにエンドユーザーが持っている個人情報を送るように設定されています。これがクロスサイトスクリプティングの被害に遭う直接的かつ最大の要因です。
2020年Webサイト不正アクセス事例
不正アクセスによりカード情報133件・顧客情報約2万件が流出 GGインターネットショップ
このたび、弊社が運営する「GGインターネットショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(133件)及び個人情報(19,328件)が流出した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が流出した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
カード情報最大3,101件流出の可能性 株式会社ダートフリーク
このたび、弊社が運営するウェブサイト「ダートバイクプラスオンラインストア」におきまして外部からの不正アクセスがあり、その内容を調査いたしましたところ、お客様の個人情報が、不正アクセスにより流出した可能性があることを確認いたしました。
お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。
弊社では、今回の事態を厳粛に受け止め、今後更なるセキュリティー強化及び再発防止のための安全対策を徹底してまいります、お客様及び関係者の皆様の信頼回復に社員一同、全力で取り組む所存です。
三菱電機にサイバー攻撃、防衛情報が流出
三菱電機は2020年2月10日、サイバー攻撃を受けて防衛関連情報が盗まれた可能性があると明らかにした。ハッカーはウイルス対策ソフトウエアの脆弱性を突いて侵入。同月12日時点で、不正アクセスが疑われる端末(パソコンとサーバー)は世界で132台となっている。防衛関連情報に加えて個人情報と企業機密がハッカーに盗まれてしまった可能性が高い。狙われているのは三菱電機だけではない。NECや神戸製鋼所、航空測量大手のパスコの防衛関連情報が外部からの不正アクセスを受けている。知らぬ間に、世界のハッカーが日本メーカーから重要機密情報を盗み取っている可能性が出てきた。重要情報のデジタルデータ化とその活用が広がっている現在、日本メーカーはどのような対策を講じるべきか。三菱電機の事案を基に探る。
引用:https://xtech.nikkei.com/atcl/nxt/mag/nmc/18/00016/00020/
アクセスキー不正利用で1,027ユーザーの情報が不正閲覧被害 サイバーエージェント
弊社が運営する「Ameba」にて、登録されたお客さまご本人以外の第三者による不正なログインが発生したことを確認しました。不正ログインの攻撃は断続的に発生していることから、今後も対象件数や状況など、変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。
この度、発生した不正ログインは、2016年11月25日(金)22時35分から「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、2016年11月28日(月)2時22分の時点で不正ログイン試行回数は37,547,786回、不正ログインされたアカウント数は、589,463件となります。
今年に入って報道されたものをざっくり拾ってみても毎月なんらかの不正アクセス、個人情報流出の被害が報道されています。こうした事例は他人事ではなく、明日、自分の会社が巻き込まれて報道されてしまうケースかもしれません。
多層防御が可能なWAF
WAF(Webアプリケーションファイアウォール)は脆弱性を狙った攻撃を検知し遮断することが可能です。ゼロデイ攻撃は非常に被害も大きく、どうしても生まれる脆弱性が原因の脅威であるため、企業は厳重な対策を行わなければなりません。そこで有効になるものがWAFです。WAFを利用することで新たな脆弱性に対しても柔軟に対応できます。クラウドブリック(Cloudbric)のようなクラウド型WAFは最新の攻撃パターンに自動で対応していき、攻撃にいち早く対応するため、ゼロデイ攻撃も防御することが可能です。ゼロデイ攻撃をより確実に防ぐためには、様々な階層で防御を行う多層防御が有効です。
当初WAFは、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が求められることで、導入については敷居の高い面がありました。今はクラウドブリックのように運用も容易く簡単に導入できるクラウド型WAFも登場し、Webサイト防御の最も現実的な選択肢の一つとなっています。またクロスサイトスクリプティングのようなWebサイトを狙った攻撃に対しても対応可能です。
