ITmedia NEWS >
連載
» 2021年03月15日 18時50分 公開

「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影「見えないWeb攻撃」──情報漏えい対策の盲点(2/2 ページ)

[中西一博ITmedia]
前のページへ 1|2       

 下図は、不正に入手した旅行予約サイトのデータベースを販売している例だ。データベースには約1700万件のレコードがあり、利用者のデバイス情報、メールアドレス、パスワード、ユーザー名、その他の個人情報が含まれていると示されている。

闇市場で商品として取引される窃取されたデータベース情報

 単純なIDとパスワードのペアと比べ、こうしたデータベースのダンプ情報には、氏名や組織内での役職、メールアドレスや電話番号、過去の取引や会話の履歴なども含まれていることが多い。これらの情報は、消費者向けにはフィッシングメールやSMSを利用したスミッシングの送信先リスト、企業への内部侵入用には取引先からの巧妙な「成り済ましメール」の作成に悪用される可能性がある。

 原因は異なるが、このところ被害報告が続いているSalesforce製品の設定ミスによって流出した顧客管理情報にも、システムの性質上これと同種のリスクが生じると考えられる。

 フィッシング対策協議会は、同協会に寄せられたフィッシング報告件数(海外含む)が2020年1月には6653件だったところ、1年後の2021年1月には4万3932件と約6.6倍に急拡大していることから、フィッシングや成り済ましメールに警戒を呼び掛けている。

フィッシング対策協議会に寄せられたフィッシング報告件数

 攻撃側では、流出情報の流通とそれを利用した多段攻撃が着実にシステム化されつつある。Webサービスの提供者は、リスクの高まりを認識し、データの大量流出を招く脆弱性攻撃の予防策に、これまで以上の注意を払う必要がある。

「見て見ぬふり」を無くすには?

 いま攻撃の標的になっているのは、今回主に被害が報告されたような、脆弱性を残したままの既存のWebサイトやサービスだけではない。コロナ禍の影響を受けて急ごしらえで設置したサイトや、デジタル化を見据えた新規サービスなどは、試験稼働の段階から執拗な攻撃に晒されているだろう。

 脆弱性を突く攻撃に対しては、基本に立ち返ることが大切だ。サーバの脆弱性パッチを迅速に当てられているか、セキュアなコーディングができているか、脆弱性検査やWAFなどの対策ができているか。これらをシステムの設計段階から織り込み、期待通りに攻撃の排除ができていることを、運用で確認していく必要がある。

 しかし実態は、誤検知を恐れて攻撃の遮断をせず、アラートするだけで運用されているWAFも多い。また、本社のシステムまでは守れていても、関連会社が提供するサービスまで対策ができていない企業グループも少なくない。今、攻撃者はそのような「見て見ぬふりをしてきた」わずかな隙間を確実に突いてきている。

 機械学習など新技術を用いて、面倒で専門知識が必要なセキュリティ運用を自動化できるソリューションも出てきている。それらを生かせば、可能な省力化を図りつつ、保護すべきサービスの範囲を着実に広げ、見落としていた穴をふさいでいくことができる。

まずはWeb攻撃に対し「当事者意識を持つこと」「見て見ぬふりをしないこと」。それが、止むことのない攻撃から、サイトの利用者と自社の築いたブランドを守る最善の策ではないだろうか。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.