Webサイトにおける脆弱性は、情報漏洩などの大きな問題に直結します。しかし、対策を行うにも技術的専門性が高く、企業にとって頭を悩ませる課題の一つです。特に近年はサイバー攻撃の多様化により、脆弱性対策に多くの手間がかかるようになってきました。今回はWebサイトの脆弱性について、その内容や被害事例、対処法などを解説していきます。
この記事のポイント
- Webサイトの脆弱性を利用された被害事例は、不正アクセス、情報漏えい、情報改ざんなど
- Webサイトの脆弱性は、発生しやすいタイミングがある
- Webサイトの脆弱性を放置すると攻撃者のターゲットになりやすくなるため、速やかな対応が必要
Webサイトにおける脆弱性とは、プログラムの不具合や設計ミスなどによって発生したセキュリティ上の欠陥を指します。この脆弱性を悪用されると情報漏えいや内容の改ざんといった、さまざまな被害が発生します。
Webサイトにおいては、下記のようなタイミングで脆弱性が発生することがあります。一つずつみていきましょう。
Webサイトにある入力フォームなどでの入出力処理時は、XSS(クロスサイトスクリプティング)やSQLインジェクションという手法での脆弱性が突かれやすいタイミングです。
XSSとは、悪質なWebサイトへ誘導するスクリプトをWebサイトへ仕掛け、目的の情報を窃取する攻撃手法です。SQLインジェクションは、データベースを操作する特殊なSQL文を注入(インジェクション)し、データベースのデータを不正に操作する攻撃手法です。
Webサイトへデータの入出力処理をかける際に脆弱性を突かれることで、不正アクセスや情報漏えいなどの被害が発生します。
入力フォームを使った認証時、データを処理するサーバー側で適切な設定が行われていない弱性が存在すると、認証情報を第三者からのぞき見られる可能性があります。送受信データが暗号化されていなかったり、あるいは暗号化されていても、暗号化強度が弱いなどの理由で認証情報が攻撃者に読み取られてしまうこともあります。
またパスワードの試行回数や再発行機能などに不備がある場合も、簡単に認証を突破されてしまうでしょう。フォームを利用するユーザーも、パスワードの使い回しや、短すぎたり、簡単に推測できるようなパスワードの利用は危険です。
セッションとは、一つの通信の開始から終了までを指し、「セッションID」と呼ばれる情報によって管理されます。セッションが切断されない限り、セッションIDは再利用され、同じデータを再度参照することが可能です。
Webサイトのセッション管理方法に脆弱性があると、セッションハイジャックによってセッションを乗っ取られ、なりすましや不正アクセスなどが発生してしまいます。さらに管理サーバーへのアクセスを許してしまうと、対象のWebサイトを自由に操作され、情報漏えいやWebサイト改ざんなどさまざまな被害が発生するのです。
Webサーバーが通信する際には、HTTPパケット~{※1}のヘッダに宛先や送信元、データの種類などを記載して通信します。
Webサーバーのミドルウェア名やバージョンを表示させるようにしたままだと、攻撃者に脆弱性を悪用され意図しない動作を実行させられる場合があります。例えばHTTPパケットのヘッダに含まれたバージョン情報をもとに、攻撃者はミドルウェアの脆弱性を調査・利用し攻撃を行います。細工されたWebサイトを閲覧した際に、ボタンのクリックなどで意図しない動作を実行させられるクリックジャッキングやXSSによる攻撃を受ける可能性があります。
その他、SSL~{※2}やTLS~{※2}の脆弱性を利用されると、データが不正に読み取られる、Cookieの内容を盗まれるなどの被害が発生します。
※1: WebサーバーとクライアントのWebブラウザが通信する際に使われるデータ。
※2:SSLはSecure Sockets Layerの略、TLSはTransport Layer Securityの略で、通信を暗号化する際に使われる機能。
Webサイトの脆弱性が起こすセキュリティリスクの主なものは、不正アクセス、情報漏えい、情報改ざんなどです。Webサイトはインターネットに露出しているため、脆弱性を放置しておくとサイバー攻撃の的になってしまいます。
Webサイトの脆弱性が狙われたサイバー攻撃は後を絶ちません。被害事例には次のようなものがあります。
ある大手IT企業では、Webサイト上の情報共有ツールから情報漏えいが発生し、顧客の情報が不正にダウンロードされました。この不正アクセスは正規のID・パスワードを使用して実施されたため、同社は何らかの脆弱性を悪用された可能性が高いとの見解を示しています。
この結果、同社は、セキュリティ対策強化と管理・監督の徹底を含む対策を発表しています。
Webサイトの管理会社が管理する複数の公共施設向けWebサイトにおいて、不正改ざんの被害が発生しました。公表時点で情報の流出などは確認されていないようですが、この改ざんにより、対象の公共施設とは無関係のサイトへアクセスが誘導されるようになっていたことが判明しました。
ある地方自治体は、不動産の管理に使用されていた届出システムが不正アクセスを受けたと発表しました。不正アクセスの結果、メールシステムの悪用によってスパムメールが送付され、数百件件の送付先に到達したと推測しています。
当該地方自治体はシステムの運用管理受託者に対し、情報セキュリティ対策の強化を指導していくとしています。
ここでは、Webサイトの脆弱性をチェックするための方法を紹介します。まずは、独立行政法人 情報処理推進機構(IPA)が2021年3月にリリースした「安全なウェブサイトの作り方」第7版を使用する方法です。Webサイトのセキュリティ実装、安全性向上のための取り組みのための対策が記載され、巻末のチェックリストには「SQLインジェクション」や「セッション管理の不備」といった脆弱性の種類、対策の性質別のチェック記入欄、実施項目について記載されています。
しかしチェック内容は基本的なものに留まるため、詳細な脆弱性チェックを希望する場合は、IT企業が提供しているセキュリティ診断サービスを検討することをおすすめします。
Webサイトの脆弱性リスクが気になる場合は、Webサイトのセキュリティ診断サービスを一度は受けるべきでしょう。企業によって診断項目やサービス内容は異なりますが、どのセキュリティ診断サービスを受けても詳細な脆弱性の分析を実施してくれます。
もちろん脆弱性に対する対処方法も合わせて説明してもらえるため、その後の対応にスムーズに移行できるでしょう。
現在はCMSでWebサイトを構築する企業も多くなってきました。
有名なものでは、無料で使用できて各種プラグインが充実しているWordPressがあります。しかし、WordPressの管理サーバーはインターネット上にあるために、サイバー攻撃の的になりやすいのが実情です。
脆弱性やバグの対応のためにはWordPressのアップデートを実施しなければなりませんが、作業は各ユーザー側で実施する必要があり、またアップデートを実施したことによる不具合にも対応しなければなりません。アップデートによってプラグインが使えなくなることもあります。
ここまでWebサイトの脆弱性への対策方法を紹介してきましたが、自社でこれらの対策を続けることは難しいものです。対策の手間を軽減できるCMSの一つに、野村インベスター・リレーションズが提供する「ShareWith」があります。
ShareWithのセキュリティやバグに対するアップデートは運営側で実施されるため、Webサイトに何らかの不具合が発生した場合でもサポートに問い合わせながら対応できます。
またShareWithは野村インベスター・リレーションズの強固なクラウドインフラ上で稼働しているため、Webサイトシステム自体のセキュリティ向上も見込めるでしょう。
さらにご利用の際には担当ディレクターがお客様のサイト運営状況を丁寧にヒアリングし、お客様のご負担が最小限となるよう、移行作業の全行程をフルサポートで進行いたします。
「ShareWith」について、詳しくはこちらをご覧ください。
脆弱性とは、何らかの理由によって発生したプログラムのセキュリティ上の欠陥を指します。脆弱性を利用された被害事例は、不正アクセス、情報漏えい、情報改ざんなどが挙げられます。
Webサイトの脆弱性への対応は非常に手間がかかります。特にCMSを利用している場合は、脆弱性の対処のためにCMS自体をアップデートしなければならない場合が多く、その対応は極めて困難です。
野村インベスター・リレーションズが提供するShareWithなら、CMSのアップデートを運営側で実施するため、脆弱性による被害の可能性を最小化できます。さらに野村インベスター・リレーションズが運営する強固なインフラ上でWebシステムを運用でき、セキュリティ対策の向上も見込めるでしょう。
ShareWithを活用して、Webサイトを効率よく運用していきましょう。