Webサイトを守るために企業が実施すべき対策とは?:情報セキュリティの深層(1/2 ページ)
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。
前回、「企業はランサムウェアの攻撃に備えて何をすればいいか」では、ランサムウェアの最新の手口と被害状況、そして企業が取るべき対策について解説しました。第二回となる今回は、2017年初旬に発生したWebサイトへのサイバー攻撃事例をもとに、企業が知っておくべき、脆弱(ぜいじゃく)性を狙ったサイバー攻撃の脅威とその対策について解説します。
Webサイトの脆弱性を狙ったサイバー攻撃の被害状況
2017年1月から3月までの3カ月間で、企業のWebサイトをはじめとした、外部に公開されているサーバが攻撃を受けた事例は、40件以上が公表されています。単純計算すると、明らかになっているだけでもこうした被害事例は毎週のように発生していることになります。その中で、Webサイトの脆弱性が原因だったものは25件にものぼっており、脆弱性を狙ったサイバー攻撃が、企業にとって深刻な脅威であることが分かります(表1)。
| No. | 発覚/公表月 | 業種 | 被害種別 |
|---|---|---|---|
| 1 | 1月 | 運輸・交通・インフラ | 情報漏えい |
| 2 | 1月 | 情報サービス・通信プロバイダ | 情報漏えい |
| 3 | 1月 | その他団体 | 情報漏えい |
| 4 | 2月 | 大学 | Web改ざん |
| 5 | 2月 | 学会 | Web改ざん |
| 6 | 2月 | 地方自治体 | Web改ざん |
| 7 | 2月 | 地方自治体 | Web改ざん |
| 8 | 2月 | 医療機関 | Web改ざん |
| 9 | 2月 | 地方物産協会 | Web改ざん |
| 10 | 2月 | 個人ホームページ | Web改ざん |
| 11 | 2月 | 地方自治体 | Web改ざん |
| 12 | 2月 | 地方自治体 | Web改ざん |
| 13 | 2月 | 地方自治体 | Web改ざん |
| 14 | 2月 | 地方複数事業者 | Web改ざん |
| 15 | 2月 | サービス | 情報漏えい |
| 16 | 2月 | 卸・小売 | 情報漏えい |
| 17 | 3月 | ITサービス | 情報漏えい |
| 18 | 3月 | 独立行政法人 | 情報漏えい |
| 19 | 3月 | 運輸・交通・インフラ | 情報漏えい |
| 20 | 3月 | 卸・小売 | 情報漏えい |
| 21 | 3月 | 運輸・交通・インフラ | Web改ざん・情報漏えい |
| 22 | 3月 | 卸・小売 | 情報漏えい |
| 23 | 3月 | 出版・放送・印刷 | 情報漏えい |
| 24 | 3月 | 地方自治体 | 踏み台 |
| 25 | 3月 | 卸・小売り | 情報漏えい |
| ※2017年1月から3月までに報道された事例をトレンドマイクロで独自に整理 | |||
2月〜3月には、Web改ざんや情報漏えいの事例が立て続けに発生していますが、これはWebサイトで用いられるソフトウェアで深刻な脆弱性が発覚したことが要因の1つです。脆弱性の内容にもよりますが、深刻な脆弱性の発覚後には、その脆弱性を悪用した攻撃ツールが即座に公開されてWebサイトが攻撃を受けるケースが発生します。
また、特定のソフトウェアで深刻な脆弱性が発覚した場合には、過去にそのソフトウェアの脆弱性で被害に遭ったことがある企業は特に注意が必要です。過去に自社の被害が公になっている場合には、その情報をもとにサイバー犯罪者が同じソフトウェアを狙って攻撃を仕掛けてくることも推測されます。
深刻な脆弱性が立て続けに発覚し、国内外で被害が発生
2017年2月〜3月に発生した一連のWebサイトを狙ったサイバー攻撃は、それぞれWordPress、Apache Struts2といったWebサイト上で使用されるソフトウェアで発覚した深刻な脆弱性が原因となっています。
WordPressの脆弱性によるWebサイトの改ざん
WordPressは、世界中で幅広く活用されている、オープンソースのコンテンツ管理システム(Content Management System、CMS)です。WordPressには、さまざまな機能を拡張するプラグインツールが提供されていて、非常に便利である反面、過去には数多くの脆弱性が見つかっています。
2月には、このWordPressのREST APIの機能に、深刻な脆弱性(CVE-2017-1001000)が発覚しました。この脆弱性は悪用が容易だったこと、そして脆弱性の詳細が公表されたタイミングとほぼ同日に攻撃コードがネット上に公開されたことから、世界中で多数のWebサイトが改ざんされる事態が発生しました。全世界で総計150万ページ、3万9000の固有ドメインが改ざんの被害に遭い、20のハッキンググループの活動で約80万件の攻撃が確認されたとも報じられています。REST APIはWordPressのバージョン4.7から標準で使えるようになった機能で、4.7.0、4.7.1がこの脆弱性の影響を受けました。
Apache Struts2の脆弱性によるWebサイトからの情報漏えい
Apache Struts2はWebサイト等の構築時に開発者が利用するJava Webアプリケーションフレームワークで、WordPress同様に広く活用されているツールの1つです。3月に、このApache Struts2にリモートでコードが実行される深刻な脆弱性(CVE-2017-5638)が発覚しました。Apache Struts 2.3.5 – 2.3.31およびApache Struts 2.5 – 2.5.10のバージョンがこの脆弱性の影響を受けました。
この脆弱性の影響で、国内でもカード決済サービスの提供を行う企業からカード情報を含む大規模な個人情報が漏えいしました。また、独立行政法人、郵便事業者、地方電力会社が同様の被害に遭ったことが公になっています。
また、2014年に世界中で話題となったOpenSSLの脆弱性(通称「Heartbleed」)が、2017年に入ってからも狙われ、情報漏えいの被害事例が報道されました。今回のように深刻な脆弱性が発覚したタイミングだけでなく、数年前に発覚している脆弱性を狙ったサイバー攻撃も常日頃から発生しています。
関連記事
- 企業はランサムウェアの攻撃に備えて何をすればいいか
2016年頃から、従来のサイバー犯罪被害に加えて、「ランサムウェア」の被害も増えてきました。海外では社会インフラにまで影響を及ぼす事例も出ています。このランサムウェアとはなんなのか、どのような対策が必要なのか、細かく解説します。 
2017年は標的型ランサムウェアや振り込め詐欺に注意、トレンドマイクロが予想
同社は2016年が「サイバー脅迫元年」だったと指摘。昨年のサイバー犯罪動向と2017年の脅威予想を解説した。
法人向けウイルスバスターに新版、マルウェア検出機能をさらに多層化へ
トレンドマイクロが「ウイルスバスター コーポレートエディション XG」を発表し、機械学習技術を使って新種マルウェアの検知精度を高めるという。
ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。
世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
ランサムウェア「Petya」の新しい亜種による大規模攻撃が発生。ウクライナを中心に、重要インフラがダウンするなどの大きな被害が出ている。
トレンドマイクロ、ウイルスバスター最新版を発表 ランサムウェア対策を強化
今後1年間にウイルスバスターシリーズで1800万ユーザーを目指す。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。