　Webベースで構築されたさまざまなサービスやアプリケーションを襲う脅威は、前回解説した不正ログインだけではない。Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。この背景を調べると、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。

　そこで今回は、前回に引き続き2020年に起きたWeb攻撃の動向から、Webアプリケーションへの脆弱性攻撃について最新の傾向や背景について考察していきたい。

連載：「見えないWeb攻撃」──情報漏えい対策の盲点

コンテンツデリバリーネットワーク（CDN）サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。

以前の連載：迷惑bot事件簿

「ウチには来ない“だろう”」が招く攻撃の被害

　2020年に国内で公表された、Webアプリケーションの脆弱性を突いた攻撃が原因と思われる被害は手元の集計で40件だった。これは前回の記事で集計した不正ログインによる被害報告の24件と比べても明らかに多い。

　内訳を見てみよう。集計前の予想では消費者向けのEC（通販）サイトがメインになると思っていたが、結果は少し意外なものとなった。

2020年に国内で公表されたWebアプリケーション攻撃が疑われる被害

　情報提供サイトやメルマガの他、セミナーや宿泊、レンタカーといった幅広い消費者向けサービスの申し込み情報が狙われたケースが最も多い。これに次いで多いのは企業や団体の公式サイト上の被害だが、個人情報を直接持っていないからか、不正なプログラムの設置や、スパムメールの踏み台、別ページへの誘導などを仕掛ける手口が目立つ。全体を見ると、サービスインしてから比較的時間がたっていると思われるサービスからの被害報告が多かった。

　これらのことから分かるのは、インターネット上に脆弱性を持つWebサイトが未だ少なからず放置され、攻撃の標的となっている実態だ。これまでは「ウチのサイトは消費者向けの商品販売も決済も扱っていないから、攻撃は来ないだろう」と考えてしまっていたサイト運営者もいたかもしれない。しかしいまや、そういう「ごく普通のWebサイト」からの被害が目立つようになってきているのだ。

　Webサーバ本体のプログラムだけでなく、CMS（コンテンツ管理システム）、ECプラットフォームなどのWebアプリケーション、さらにそれらのプラグインでは、新たな脆弱性が次々と発見されている。また、入力フォームの項目追加などサイト側での小さな仕様変更によっても脆弱性が生まれやすい。攻撃者はそのような「弱点」を、脆弱性スキャナーでネット上のあらゆるサーバを無差別にスキャンして、常に探索している。攻撃を受けていないWebサーバはもはや存在しないといっていい。それでもまだ攻撃を受けていないと思っているなら「目を凝らして見ていないだけ」だ。

　情報提供や問い合わせ、イベント募集登録フォームを設置しているだけの企業や組織の一般的なサイトにも、WAF（Webアプリケーションファイアウォール）などの最低限の対策が施すべきだ。最新の被害動向を踏まえた上で、いま一度確認が必要だろう。

闇市場での「データベース丸ごと販売」が背景か

　2020年11月には、電子チケット販売プラットフォーム「Peatix」（ピーティックス）が不正アクセスを受け、約677万件の個人情報が流出した。日本でも同サービスを利用していた多数の組織でイベント登録者の氏名やメールアドレスの他、暗号化されたパスワードなどが流出したという。件数と流出したデータの内容から、Webアプリケーションの背後にあるデータベースに保存されていたデータが丸ごとダンプされた（抜き取られた）と考えられる。

　このところ国内でも、通販などを取り扱うB2CサイトだけでなくB2Bサイトからもこうした個人情報を含むデータダンプの流出が報告されている。その背景の一つに、データベース丸ごとのダンプ情報が、ダークウェブなどの闇市場において、取引商品の一つとして新たに確立したことが考えられる。

不正に入手した旅行予約サイトのデータベースを販売している例

　　　　　　 1|2 次のページへ