2013年のセキュリティ事件簿・誤送信やWebサイト改ざんに学ぶ萩原栄幸の情報セキュリティ相談室(2/2 ページ)

» 2013年12月06日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

Webサイトの改ざん

  • 1月25日、不正アクセスによりWebサイトが改ざんされた(某独立行政法人)
  • 1月26日、Webサイトが改ざんされ、不正な文字が表示される。データベースの内容も改ざんされていた。閲覧者を強制的に海外サイトへ誘導するような痕跡も発見された。個人情報漏えいの被害は無いということであった(某博物館)

 Webサイトへの不正アクセスや改ざんも毎年発生している。ただし、極めて高度な手口で改ざんされたという事例はほとんど無く、大部分は既存の攻撃手法によるものであった。クロスサイト・リクエスト・フォージェリ(CSRF)攻撃やSQLインジェクション攻撃、クロスサイト・スクリプティング(XSS)攻撃などで、これは筆者も10年近く前からセミナーで再三に渡って注意していた事柄でもある。

 情報処理推進機構からは、「安全なウェブサイトの作り方」の改訂第6版が出されており、後ろのページにはチェックリストが用意され、簡単に診断できるようになっている。だが実際のWebのソースをみると、基本に忠実になってプログラミングした感じではないものが散見される。プログラマーや設計者の感性で作成されているようなものが少なくない。「なぜ、こんな基本的な防御策すら行わなかったのか?」と思う事象にも遭遇している。

 これらの背景にあるのは、「システム管理者のスキル不足」「検証が不十分」「Webサイトの重要性を認識していない」「従来のやり方に固執」「セキュリティ対策の組み込む機能が不十分なツールの利用」など多々ある。だが、最低でも脆弱性(せめて既存で判明しているものくらいは)の検査を必ず行い、「真っ当なサイト」にすべきではないだろうか。残念だが、一部の金融機関のWebサイトにもそういうものが見られる。かつて金融機関に勤めていた頃、日本銀行本店で月1回「情報セキュリティ会議」を開催していた。その頃にも相当にひどいWebサイトがあった。それが、今でもまれに見つかるのはいかがなものだろうか。対策としては、決して難しいことではないと思うのだが……。

 さらに、最近ではこれらに関連してフィッシング詐欺がまた増加している。金融機関側も様々な対応を施しているが、根本的には利用者がきちんとセキュリティを認識した上で注意深く利用することが大事だ。実はこれで9割以上防止できる(「自分の身は自分で守る」というセキュリティの基本からお伝えしている)。

 ワンタイム・パスワードも今では破られてしまう。SSL通信も完璧ではない。だからといって、All or Notingではないが、「どうやっても駄目」「何もしなくても同じだ」とは考えないでいただきたい。「ネットバンキングやネット通販は危険で、被害は絶対に避けたい」という気持ちも分からなくはないが、それならインターネットを使わない以外に、ほかに手は無いだろう。

 現実的には、リスクはリスクとして正面から受け止め、その中で少しでもリスクが低くなる行動をとるのが最も賢い選択だと思う。リスクだけをみていると、極端だが、外に出かけることも適わないとなってしまう。そのためには、まず正確な情報を入手する。ダメ元でもいいので、「やらないよりはやったほうがいい」と世間で認知されたものは活用してほしい(費用がかからない限りは積極的に実施すべき)。またリスクを定量評価し、その対応策を鑑みてバランスのとれた方法を実施することだ。

 セキュリティとは、言わば「木製の桶」のようなものだろう。何十枚かの長方形の板をすき間なく並べることで水が漏れない。その板の一枚一枚がセキュリティ対策であり、バランスの良い対策は板の長さがほとんど同じなので、なおさら水は漏れにくい。

 しかし例えば、入退室管理のIDカードや指紋認証といった個々の対策が素晴らしいものでも、Webセキュリティに穴があれば、侵入者はWebから攻撃をしてくる。何千万円もかけて導入した入退室管理システムは、少なくとも「侵入」という点だけでみれば全く機能しない(当然ながら、入退室管理システムが対象とするものは「侵入」のごく一部に過ぎない)。入退室管理システムに費やした金額の1割でもWebセキュリティに投資していれば、全体としてのセキュリティレベルは格段に上がる。極めて基本的なことだが、許容範囲を超えてバランスを欠いた対策になっている企業が多数存在している。

 ここで、「Windowsパッチを常に最新にせよ」とか、「Internet Explorerのインターネットオプションの『セキュリティ』にあるフォルダーではゾーンレベルを中高以上に設定しなさい」とか、個別具体的な対策を記載するつもりはない。そのような解説は、インターネット上に無数にある。

 技術の前にまず「人格あり」であり、そして「人格」の前に「人としての心」がある――筆者の信条である。次回もこの信条をもとに、事件を解説していきたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ