あなたのWebサイトは大丈夫ですか? Webの脆弱性について

サイバー攻撃を仕掛けてくる犯人は、あの手この手で攻めてきます。主な手法は、スパムメールに悪意あるマルウェアをファイルとして添付して送ってくるもの。そして公開されている一般のWebサイトの脆弱性を突いてWebサイトの中にマルウェアを仕込んで、サイトを閲覧したユーザーをマルウェアに感染させようとするものがあります。

もちろん他にも、ユーザーの使用しているパソコンのOSやJavaなどのアプリケーションの脆弱性を利用することもありますが、今日は、Webサイトの脆弱性のお話です。

Webサイトを自営で運営されている方は注意が必要です。あなたのWebサイトが知らぬ間に攻撃者に改ざんされていたり、サイト内にマルウェアを仕込まれてせっかくあなたのサイトに訪れてくれた方をウィルスに感染させてしまうかもしれません。またそれだけではなく、Webサイトの脆弱性から、サイトで管理しているデータベースに勝手にアクセスして大事な顧客情報などを漏洩されてしまうこともあります。

これらはWebサイトを制作するときに、意識して脆弱性をつぶしておく必要があります。またWebページを格納しているWebサーバーにもサイバーセキュリティ対策を施していることが大切です。これは個人のパソコンにウィルス対策ソフトを導入するのと似ています。 さて具体的にはどのような攻撃があるのか以下でご紹介します。

【SQLインジェクション】

SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を利用し、SQL文を実行させ、データベースシステムを不正に操作する攻撃方法のこと。SQLとはデータの操作や定義を行うためのデータベース言語のことで、この言語をデータベースにアクセスするようなフォームに書き込むことで格納しているデータベースを不正に入手したりします。対応策は入力値を適切にエスケープ、つまりコードをコードとして認識させずただの文字と認識させるようにうながす施策をしておくこと。

【クロスサイト・スクリプティング】

アンケート、掲示板、サイト内検索のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、きちんとセキュリティ対策がされていない場合、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまう攻撃手法です。ユーザーは偽ページと気が付かないのでIDなどをフィッシングされてしまいます。しかも気が付いたユーザーは本来の企業にフィッシングされたように映るため企業の信用も落ちてしまいます。

【CSRF(クロスサイト・リクエスト・フォージェリ)】

クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。結果、ユーザーが本来、書き込もうと思っていない内容の書き込みがされ、まるでそのユーザーが悪いことを書き込んだように映ってしまいます。

これらはまだWeb脆弱性の一部です。認識しないといけないのは脆弱性のあるWebサイトを運営していると攻撃者に利用されるだけでなく被害に遭ったユーザーからは運営者が恨まれることになってしまうこともあるということです。しらぬまに攻撃者の片棒をかついでしまうことになります。そのようなことがないためにも定期的にWEBの脆弱性をチェックし、脆弱性が見つかった場合には対策をしておきましょう。

詳細;IPA(情報処理推進機構)安全なウェブサイトの作り方

<