Webコンテンツの守り方 情報漏えい対策術
経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。
PickUp!
“典型的やられサイト”で学ぶセキュリティのワナ:
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
“典型的やられサイト”で学ぶセキュリティのワナ:
新人の作ったWebアプリが穴だらけ!? “典型的やられサイト”で学ぶセキュリティのワナ
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。
関連記事
Web周りの情報セキュリティ対策として使われる「WAF」。インターネット上で事業活動をするならほぼ必須級の対策になっているのだが、専門家はWAFの知名度不足を感じているという。
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。
米Cloudflareが、中小企業向けセキュリティ支援プログラムを日本やドイツなど5カ国で始めた。WAFやDDoS攻撃対策といったセキュリティサービスを無料提供する。
個人情報保護委員会が、2022年度上半期に報告された個人情報漏えい事案が1587件に上ったと発表した。前年同期比で約3倍に相当し、特に不正アクセスによるものや、医療機関での情報紛失などが多かった。
経済産業省は、大量のクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメントに行政指導した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかった。
「見えないWeb攻撃」──情報漏えい対策の盲点:
ハイブリッド戦の影響が世界に波及する中で、サイバー空間でいま何が起きているのか。緊張の高まる台湾およびアジアの情勢を前に、民間企業はどう備えるべきか。変わりつつあるWeb攻撃の傾向などを基に、浮かび上がったハイブリッド戦の影について考察する。
JPCERT/CCが、WordPressに複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。悪用されるとWebサイトの閲覧者に悪影響が出る可能性がある。
日本語プログラミング言語「なでしこ3」に複数の脆弱性が見つかった。悪用されるとOSコマンドインジェクションやサーバの機能停止が起こる恐れがある。
米Blizzard Entertainmentのマイク・イバーラ社長が、10月4日(現地時間)にサービスを開始した対戦シューティングゲーム「オーバーウォッチ2」について、DDoS攻撃を受けていると発表した。サーバへの接続に問題が発生しており、対策中という。
河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害について、それぞれ別の原因があったと明らかにした。6日の障害は外部からのDDoS攻撃によるもので、7日の障害はシステム内部の問題だった。
9月4日だけ、ロシアから大量のSQLインジェクション攻撃があった──WAF開発のサイバーセキュリティクラウドが13日、そんな観測結果を発表した。
この頃、セキュリティ界隈で:
ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。
Googleは、Google Cloudに対し過去最大級のDDoS攻撃が仕掛けられたがこれをブロックしたと発表した。保護サービス「Cloud Armor」が攻撃を検知してブロックした。ピーク時には毎秒4600万回のリクエストがあった。
オンラインゲーム「Sky 星を紡ぐ子どもたち」の日本語公式Twitter(@thatskygameJP)は、同ゲームのサーバが複数のコンピュータからサーバに過剰な負荷を与えて障害を引き起こす「DDoS攻撃」を受けていると発表した。
名古屋大学で、情報システムに関する質問を受け付けるシステムが不正アクセスを受け、メールアドレス2086件が漏えいした可能性がある。攻撃対象サーバの挙動を分析して内部情報を探る「ブラインドSQLインジェクション」を受けたとしている。
矢野経済研究所が、同社のWebサイトに不正アクセスを受け、メールアドレスなど最大10万1988件が漏えいした可能性があると発表した。データベースを不正操作する「SQLインジェクション」を受けたという。
メタップスペイメントの不正アクセス問題に便乗し、カード情報を盗もうとする詐欺メールやSMSが出回っているとして、ローソン銀行が注意喚起した。
メタップスペイメントで、データの保存が認められていないセキュリティコードを含むカード情報が流出した可能性がある。保存してはいけないはずのデータがなぜ流出したのか、メタップスペイメントに聞いた。
ゲーマー向け家具ブランド「バウヒュッテ」などを運営するビーズが、公式サイトに不正アクセスを受けたと発表。データベースを不正操作する「SQLインジェクション」を受け、顧客や取引先のメールアドレス計2万件以上が漏えいした可能性があるという。
メタップスペイメントの不正アクセス問題に関連して、日本生命保険が、最大で約1万5000人分のクレジットカード情報が流出した可能性があると発表した。
メタップスペイメントが不正アクセスを受け、カード情報最大46万件が流出した可能性のある問題に関連して、AKB48グループや公共施設、日本赤十字社、チケットサイトなどが、「情報流出の可能性がある」としてユーザーに対して謝罪した。
日本赤十字社は、寄付の決済で利用されたクレジットカードの情報が最大で5283件流出した可能性があると発表した。クレジットカード基盤を提供するメタップスペイメントへのサイバー攻撃が原因。
メタップスペイメントのデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたという。
日能研のWebサーバが不正アクセスを受け、最大約28万件のメールアドレスが流出した可能性がある。SQLインジェクションによる攻撃だったという。
ITmediaはアイティメディア株式会社の登録商標です。