深刻化は続く…Webサイトを狙う攻撃の現状

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

深刻化は続く…Webサイトを狙う攻撃の現状

2011/02/01


 Webを悪用した攻撃が多様化・巧妙化する一方で、企業マーケティングの一環としてWebサイト開設や運営の重要性はますます大きくなるばかりだ。Webサイトがユーザに支持されるかどうかがブランドイメージや競争力に影響を及ぼすことから、多くのWebサイトが単にHTMLを送信するだけでなく、ユーザがインタラクティブに商品情報などを検索したり、ショッピングをはじめとする重要な情報のやり取りを行ったりできるサービスを作りこんでいる。そこにはWebアプリケーションならではのセキュリティ上の問題が存在する。今回は、そうしたWebサイトにおけるセキュリティ上の課題とその解決策について2回連載で紹介していく。第1回の本記事では、Webサイトへの攻撃事例をカギに、Webサイトにどんな危険があるのかを洗い出していく。

Webサイトのセキュリティ

#025

狙われるのはDBサーバ…「SQLインジェクション攻撃」の恐怖

 「あなたの会社の顧客のクレジットカード番号が不正利用されているようです」。オンラインショップを運営しているA社のもとに、クレジットカード会社から連絡が届いた。驚いた担当者はただちに同社のWebサイトを「メンテナンス中」として閉鎖し、事実確認に集中することにした。次の日からは第三者機関を加えて調査を本格化、クレジットカード会社の協力も仰いで何が起きているのか、原因は何なのかを追及することになった。
 その頃にはすでに被害が起こり始めていた。オンラインチケット販売サービスから大量のコンサートチケットが、A社サイトから流出したと見られるクレジットカード情報によって購入されていたのだ。クレジットカード情報は、100〜200人分が購入(未遂も含めて)のために使われており、1回に約5万〜10万円分のチケットがまとめて購入されていた。購入に成功したチケットは、転売されていたと見られる。チケット販売サービス業者ではこの事実に気づくとすぐに現物チケットの交換方法を変更し、決裁したクレジットカードそのものがなければ交換できないように変更した。それ以上の被害を食い止めるためだ。
 約1週間後には、不正利用されたのが過去のある一定期間にA社のオンラインショップでクレジットカード決済を行った顧客の情報ばかりであることまで突き止められた。A社はさっそく、顧客に向けて「お詫びとご連絡」メールを送信して事実を伝え、謝罪を行った。同時に個人情報を漏洩したことを経産省に報告した。
 漏洩の原因と内容が判明したのは、さらにそれから10日ほど経った頃だった。その原因は、SQLインジェクション攻撃と呼ばれる手口を用いた不正アクセスだった。SQLインジェクション攻撃は、クレジットカード会社が不正なカード利用を発見して連絡する約3日前の午前3時半頃からおよそ3時間、断続的に行われていた。攻撃元として判明したのは中国のIPアドレスであるというところまでだった。
 窃取された情報は、A社のデータベースサーバ内にあったオンラインショップの受注データに含まれるクレジットカード情報(番号、有効期限)1万1446件だった。それ以外の個人情報は流出していなかった。
 A社はやがてクレジットカードを不正利用された被害者を特定してお詫びを行うとともに警察に調査報告を行い被害を届け出た。その後、顧客への調査結果の報告をメールや書面で行うとともに、すでに閲覧のみが可能な状態で再開していたWebサイトで経緯や対応状況、今後の対策などを含めて発表した。クレジットカードの再発行にともなう費用などについてはA社が負担することにした。さらにその後、長期にわたってWebサイトに調査結果や経緯の報告やお詫びを掲載し、顧客に不審なクレジットカード利用明細がないかどうかを確認することを呼びかけている。



 (ケースファイルは実際の事例をもとにキーマンズネット作成)

 ケースファイルのようにWebサイトからそのバックにあるデータベースサーバにまで不正侵入し、重要情報を盗み出したり、データを破壊・改ざんしたりする攻撃があとを絶たない。それ以外にもWebサイトを悪用したさまざまな悪事や嫌がらせ、あるいはいたずらに類する攻撃が、種類によっては数を減らしてはいるものの、根絶せずに続いている。
 このようなWebサイトに関連する攻撃は、Webアプリケーションの脆弱性を狙って行われる。よく狙われる脆弱性には、主に次のようなものがある。

よく狙われるWebアプリケーションの脆弱性

(1)

SQLインジェクション

(2)

OSコマンド・インジェクション

(3)

パス名パラメータの未チェック/ディレクトリ・トラバーサル

(4)

セッション管理の不備

(5)

クロスサイト・スクリプティング

(6)

CSRF(クロスサイト・リクエスト・フォージェリ)

(7)

HTTPヘッダ・インジェクション

(8)

メールの第三者中継

(9)

アクセス制御や認可制御の欠落

 ケースファイルでは、SQLインジェクションに対する脆弱性が狙われた。これは、企業経営へのインパクトの大きさと攻撃頻度の両面で、現在最も警戒すべき攻撃だ。SQLインジェクション以外の攻撃では、クロスサイト・スクリプティングに関する脆弱性への攻撃が、IPAへの届出数としてはトップにランクされるほど目立っている。ただし実害の発生する可能性は、これよりもリストの上位にあげた攻撃のほうが高い。上記リストの順番は、リスクと攻撃頻度などを考慮して一般に対策の必要度が高いと思われる順番になっている。
  以下では、上に掲げた脆弱性に対する攻撃の手口の一部について、あらましとそれによって被る可能性がある被害について紹介していく。ここで紹介しきれない攻撃手口や対策の仕方については次回「統計データ編(2/15掲載予定)」で掲載する。


1

Webアプリへの「入力」に悪意ある攻撃を仕込む手口

 ケースファイルに取り上げた事例では、ユーザが企業Webサイトを介してWebサーバの背後のデータベースサーバの情報を取り扱うアプリケーションが攻撃された。これは、本来は意図されていない入力をWebアプリケーションに対して行って、その入力データをデータベースへの命令に使うSQL文のパラメータとして送り込み、データベースから不正に情報を窃取したり、改ざんしたり、消去したりする攻撃だ。一般にはSQLインジェクション攻撃と呼ばれている。このような種類の攻撃は、企業に非常に大きな損失をもたらす可能性が高いので、特に注意する必要がある。

1-1

SQLインジェクション攻撃の仕組みと被害

 SQLインジェクション攻撃は、図1のようにWebアプリケーションの入力項目に対して悪意ある内容を含むデータを送り込む。Webアプリケーションにこの攻撃に対する脆弱性がある場合に、攻撃者の送り込んだ情報をそのままSQL文の一部として取り込んで、データベースサーバに送ってしまう。データベースサーバではそのSQL文に沿った処理を行うが、それは本来の用途とはかけ離れた処理になる。

セキュリティ情報局にご登録頂いた方限定で「深刻化は続く…Webサイトを狙う攻撃の現状」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webサイトのセキュリティ/深刻化は続く…Webサイトを狙う攻撃の現状」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webサイトのセキュリティ」関連情報をランダムに表示しています。

Webサイトのセキュリティ」関連の製品

Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】
ADC/ロードバランサ
トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品

Webサイトのセキュリティ」関連の特集


後を絶たない情報漏洩事件。策は講じているのに、なぜ脆弱性は残るのか?その理由とセキュリティ診断の受診…



 World Wide Web(WWW)は、インターネット上で情報を交換し合うためのシステムだ。We…



 最終号の今回は、Webアプリケーション開発にセキュアコーディングスキルが必須となる中で、前回の議論…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003945


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ