「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影 :「見えないWeb攻撃」──情報漏えい対策の盲点(1/2 ページ)
今回は「「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影 :「見えないWeb攻撃」──情報漏えい対策の盲点(1/2 ページ)」についてご紹介します。
関連ワード (流出、組織、通販等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Webベースで構築されたさまざまなサービスやアプリケーションを襲う脅威は、だけではない。Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。この背景を調べると、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。
そこで今回は、前回に引き続き2020年に起きたWeb攻撃の動向から、Webアプリケーションへの脆弱性攻撃について最新の傾向や背景について考察していきたい。
連載:「見えないWeb攻撃」──情報漏えい対策の盲点
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。
以前の連載:
「ウチには来ない“だろう”」が招く攻撃の被害
2020年に国内で公表された、Webアプリケーションの脆弱性を突いた攻撃が原因と思われる被害は手元の集計で40件だった。これは前回の記事で集計した不正ログインによる被害報告の24件と比べても明らかに多い。
内訳を見てみよう。集計前の予想では消費者向けのEC(通販)サイトがメインになると思っていたが、結果は少し意外なものとなった。
情報提供サイトやメルマガの他、セミナーや宿泊、レンタカーといった幅広い消費者向けサービスの申し込み情報が狙われたケースが最も多い。これに次いで多いのは企業や団体の公式サイト上の被害だが、個人情報を直接持っていないからか、不正なプログラムの設置や、スパムメールの踏み台、別ページへの誘導などを仕掛ける手口が目立つ。全体を見ると、サービスインしてから比較的時間がたっていると思われるサービスからの被害報告が多かった。
これらのことから分かるのは、インターネット上に脆弱性を持つWebサイトが未だ少なからず放置され、攻撃の標的となっている実態だ。これまでは「ウチのサイトは消費者向けの商品販売も決済も扱っていないから、攻撃は来ないだろう」と考えてしまっていたサイト運営者もいたかもしれない。しかしいまや、そういう「ごく普通のWebサイト」からの被害が目立つようになってきているのだ。
Webサーバ本体のプログラムだけでなく、CMS(コンテンツ管理システム)、ECプラットフォームなどのWebアプリケーション、さらにそれらのプラグインでは、新たな脆弱性が次々と発見されている。また、入力フォームの項目追加などサイト側での小さな仕様変更によっても脆弱性が生まれやすい。攻撃者はそのような「弱点」を、脆弱性スキャナーでネット上のあらゆるサーバを無差別にスキャンして、常に探索している。攻撃を受けていないWebサーバはもはや存在しないといっていい。それでもまだ攻撃を受けていないと思っているなら「目を凝らして見ていないだけ」だ。
情報提供や問い合わせ、イベント募集登録フォームを設置しているだけの企業や組織の一般的なサイトにも、WAF(Webアプリケーションファイアウォール)などの最低限の対策が施すべきだ。最新の被害動向を踏まえた上で、いま一度確認が必要だろう。
闇市場での「データベース丸ごと販売」が背景か
2020年11月には、電子チケット販売プラットフォーム「Peatix」(ピーティックス)が不正アクセスを受け、約677万件の個人情報が流出した。日本でも同サービスを利用していた多数の組織でイベント登録者の氏名やメールアドレスの他、暗号化されたパスワードなどが流出したという。件数と流出したデータの内容から、Webアプリケーションの背後にあるデータベースに保存されていたデータが丸ごとダンプされた(抜き取られた)と考えられる。
このところ国内でも、通販などを取り扱うB2CサイトだけでなくB2Bサイトからもこうした個人情報を含むデータダンプの流出が報告されている。その背景の一つに、データベース丸ごとのダンプ情報が、ダークウェブなどの闇市場において、取引商品の一つとして新たに確立したことが考えられる。
Copyright © ITmedia, Inc. All Rights Reserved.
プロップ通販 -美少女ゲームの通販サイト-
プロップ通販 美少女ゲームの通販サイト 18歳未満です。又は性的表現を含むコンテンツを閲覧したくないので退出する 無店舗型性風俗特殊営業届 届出済 第2-167号 当ホームページはJAVAスクリプト,Cookie,スタイルシートを使用 しており ...
アリスNET | 美少女PCゲーム 通販サイト
ÄÌÈÎ¥µ¥¤¥È¡Ö¥¢¥ê¥¹NET¡×¤Ç¤¹¡£¸¡º÷¥¨¥ó¥¸¥óÍøÍÑ»þ¤Ë¡Úhttps¡Û¤Ç»Ï¤Þ¤ë¥¢¥É¥ì¥¹¤Î¾ì¹ç¡¢Àµ¾ï¤Ëɽ¼¨¤¬¤µ¤ì¤Þ¤»¤ó¤Î¤Ç¡¢¡Ús¡Û¤ò¾Ã¤·¤Æ¡Úhttp¡Û¤ËÊѹ¹¤Î¾å¤Ç¤´Í÷²¼¤µ¤¤¡£PC¥²¡¼¥àÅù¤Î¥ª¥ê¥¸¥Ê¥ëÆÃŵÉÕ¤ò¿¿ô¼è¤ê°·¤Ã¤Æ¤ª¤ê¤Þ¤¹¡£¿·ºî¥½¥Õ¥È¤Î¤´Í½Ìó¤â¾µ¤Ã¤Æ¤ª¤ê¤Þ¤¹¡£
CHECK&STRIPE
現在、「3月の新しい布」、 「『CHECK&STRIPEのおとな服 ソーイング・レメディー』(文化出版局)で使用した布」、をご紹介しています。 初めての方はこちらをご覧ください ポイントについてはこちらをご覧ください ウイルスに関しての取り組み
まるごと北海道
北海道の旬の美味しいをまるごとお届け致します!
ジュンク堂書店 公式サイト| 書籍・雑誌、文具・雑貨等の販売
専門書や希少本など、幅広く深い品揃えのジュンク堂書店の公式サイト。丸善ジュンク堂書店は、愚直なまでに本と文具の品揃えにこだわり、「図書館よりも図書館らしい」店づくりで、お客様のニーズにお応えします。
RESCUE SQUAD(レスキュースクワッド):RESCUE SQUADは ...
RESCUE SQUADはすべてのファイヤーマンやレスキュアーのもつレスキュースピリットにインスパイアされ1993年に設立されました。私たちの使命はそのレスキュースピリットを商品を通して人々に伝えること。私たちの商品は独自の角度から捉えたあらゆるレスキューのシーンがベースとなっています。
安心で癒されるのアクアライフをお届け。海からのお届けもの ...
海水魚,サンゴ,直輸入だから格安!海からのお届けもの/海水魚・輸入魚・ディスカウトストアー【アクアギフト】
【公式】北菓楼(きたかろう)
北海道の自然が生み育んだ北のお菓子「北菓楼」の公式オンラインショップです。北海道砂川の和洋菓子店、北菓楼【きたかろう】。熟練の菓子職人が、素材にこだわり、手間をおしまず、丁寧におつくりしている和洋菓子の数々がご好評いただいております。安住アナが司会を務める「ぴったんこカンカン」で紹介された「北海道開拓おかき」や、絶賛の嵐をいただいているバウムクーヘン「妖精の森」など、お取り寄せやブライダルギフト、新千歳空港のお土産としても人気です。
ARCH HERITAGE
ARCH HERITAGE(アーチヘリテイジ)は、ALDEN、A VONTADE、orSlow、TOUJOURS、ANATOMICA、ASEEDONCLOUD の通販可能正規取扱店。
バスケットボール、サッカーアイテムが充実!埼玉県熊谷市の ...
バスケットシューズが充実!レアなアイテムも店舗在庫で即日配送可能!埼玉県熊谷市にある総合スポーツショップ クマスポ。サッカーウェア、野球ウェアなども取り扱い
