サーバの脆弱性の対策がなされずに放置されている場合、サイバー攻撃を受けるリスクが高まります。サイバー攻撃を受けると、顧客情報の流出やウェブサイトの改ざんなどにつながる恐れがあります。
今回の記事では、サイバー攻撃者がサーバ脆弱性を発見した場合に、どのような攻撃が仕掛けられるかについて解説します。攻撃の種類や内容を把握することにより、対策の重要性認識にもつながるかと思います。
▶目次
1、脆弱性を狙ったサイバー攻撃の種類
サーバ脆弱性を狙ったサイバー攻撃の主な種類について紹介します。
SQLインジェクション
SQLインジェクションは、脆弱性を狙った攻撃の中で最も被害が重大化しやすい、データベースを不正に操作するサイバー攻撃です。
サイバー攻撃者が、ネットショップ(ECサイト)やネットゲームのサイトに、悪意のあるSQL言語を注入し、データベースに対して本来の働きとは異なる動きを要求する攻撃になります。例えば、顧客のログインIDとパスワードやクレジットカード番号を開示するように要求したり、ウェブサイトにウイルスを埋め込まれてしまったり、といった被害が生じます。
脆弱性対策がなされている場合には、悪意のあるSQL言語をサーバが命令を受けない言語に変換して、要求にこたえないようにします(=エスケープ処理)。
また、予防的な処置も重要です。管理するデータの見直し、アカウントの見直し(アカウントの権利を分散し、1つのアカウントに権限を集中させない、パスワードの暗号化)などの対策が有効です。
XSS(クロスサイトスクリプティング)
XSS(クロスサイトスクリプティング)は、ウェブサイトの脆弱性をついて、本来の動きとは異なる動作をさせるプログラムを埋め込むサイバー攻撃です。企業のホームページを踏み台にして、閲覧者にウイルスを感染させたり、情報を抜き取ったり、フィッシング詐欺に悪用されたり、といった作用を起こします。
クロスサイトスクリプティングを無効化するには、プログラムと認識させるプログラムを無害化するエスケープ処理、入力値チェックにてサーバ側で行うように事前に設定しておく、などの方法があります。
ブルーフォースアタック(総当たり攻撃)
ブルーフォースアタック(総当たり攻撃)とは、ウェブサイトのログインパスワードを取得する攻撃手段のことを指します。
ブルーフォースとは「力づく」を意味する言葉で、あらゆる文字の組み合わせを行い、ヒットするまで繰り返し総攻撃を行う手法です。認証失敗回数による制限が設けられていない限り、最終的にパスワードが盗み取られてしまう可能性があります。
効率が悪い方法のようにも思えますが、PCの性能の向上により複雑なパスワードの場合でもそれほど長い時間をかけずに、正しいパスワードにヒットしてしまう可能性が高いと指摘されています。
ECサイトの顧客パスワード突破だけでなく、ワードプレスを始めとしたCMSのサイトパスワードの突破が試みられるケースもあります。
2、脆弱性対策の考え方
脆弱性を狙った攻撃に備え、安全にサーバを管理・運用するための考え方について解説します。
脆弱性に対する攻撃
サーバの脆弱性対策というと、不具合の対策という風に考えがちですが、実際には上記のような想定される攻撃に対して個別に対応を取ることが求められます。また、一つの攻撃に対する対策を二重三重に取る必要があるため、脆弱性への攻撃の対策は決して簡単なものではありません。
また、紹介した3つの脆弱性攻撃以外にもOSコマンドインジェクションやHTTPヘッダ・インジェクションなどさまざまな脆弱性に対する攻撃が存在します。
定期的に脆弱性の診断を実施するとともに、運用中も異変にできるだけ早く気が付けるように監視対策が重要です。
脆弱性の診断についてはこちらの記事< 診断(自動・手動)の活用法>にて解説しています。
パッチの公開情報に注意する
サイバー攻撃者は、常に脆弱なサーバを探して情報を収集しています。中でも彼らが最近情報収集手段として活用しているといわれているのが、ソフトウェア開発者のセキュリティパッチ情報です。
セキュリティパッチ情報とは、ソフトウェアに不具合や脆弱性が発見された際の修正プログラムの情報のことを言います。本来は、ユーザーに対して、パッチ対策を施すためにソフトウェア会社が情報をリリースしていますが、サイバー攻撃者はこれらの情報を悪用し、セキュリティパッチ処理やアップデートがなされる前にサイバー攻撃を仕掛けてくるのです。
こうした背景には、技術の進歩により、ウイルスやマルウェアの開発期間が短くなっていることが挙げられます。パッチ情報の公開から数日程度で攻撃が仕掛けられた事例もあります。
こうした攻撃を防ぐには、パッチ情報を見逃さずにチェックすることと、情報をキャッチしたら速やかに処理を行うことです。データのバックアップの必要性や業務との兼ね合いからつい後回しにしてしまいがちですが、危険性を理解して最優先で処理するようにしましょう。
3、まとめ
この記事ではサーバの脆弱性を狙った主な攻撃として、SQL、XSS、ブルーフォースアタックについて解説しています。
いずれも、サーバの脆弱性をついて、顧客のデータを不正に取得したり、ウェブページを改ざんするなど、本来のサーバとは異なる動きを要求したりするものです。対策が不十分な場合には、金銭的な損失だけではなく、社会的信用の失墜も招いてしまいますので、診断と対策は怠らないようにしましょう。