ユーザーの「安心感」を逆手に取る攻撃：いまそこにある商用サイトの危機（3/3 ページ）

[梅田正隆（ロビンソン），アイティセレクト]

危機にさらされる前に講じるべき対策

　ウェブアプリケーションの脆弱性について、XSSとCSRFの2つを例に説明したが、ご存知のようにトップ10にランクインしない脆弱性も数多く存在している。脆弱性を突く攻撃方法も多種多様であり、攻撃者が何を狙っているかによって脅威の度合も異なってくる。例えばXSSの場合、最も深刻な攻撃はユーザーのセッションを攻撃者がハイジャックするものだ。

　攻撃者はユーザーになりすまして、やりたい放題のことをやるだろう。あるいは、ユーザーの機密情報を盗んだり、別のユーザーを悪意のあるウェブサイトにリダイレクトしてしまうこともできるし、コンテンツの内容を書き換えて企業の信用を失墜させることも可能なのだ。ウェブアプリケーションの脆弱性によって想定される脅威としては、データの改ざん、重要情報の漏えい、なりすまし、正規サイト上への偽情報の表示、サービスの不能、リソースの枯渇、セッションの乗っ取り、利用者のセキュリティレベルの低下、メールの不正中継、任意のコマンドの実行、任意のファイルへのアクセス、認証情報の漏えいなどが挙げられる。

　ウェブサイトが抱える脆弱性に具体的に対処するのは、ウェブアプリケーション開発チームやウェブサイト運用チーム、セキュリティ管理チームなどの役目となるが、ビジネスエグゼクティブにおいても、ユーザーとして被害者にならないように、あるいは自身のビジネスをドライブするウェブサイトが攻撃されてしまい、深刻な事態を招かないよう社内で議論しておきたいところだ。

　一般にウェブアプリケーションは外部に開発を委託している企業が多いと思われる。委託契約においてはアプリケーションのテストが当然含まれるのであるが、そこに脆弱性の検査とその対処を含めたゴールを設定すべきだろうと考える。

　もちろん、過去に脆弱性の検査を含めていなかったのであれば、それにかかるコストの上乗せは覚悟する必要があるだろう。さらに、現状のウェブサイトの脆弱性を把握できていない企業は、取り急ぎセキュリティの専門家による「脆弱性診断サービス」や診断ツールを活用することをお勧めしたい。脆弱なまま放置するとボットネットを増長させることにつながりかねず、それは不作為の罪というものだろう。

「月刊アイティセレクト」10月号のトレンドフォーカス「続々と迫り来るボットの脅威から自社サイトをいかにして守るか」より）