マイナビは2月28日(金)「2014年版! 標的型攻撃対策セミナー」を毎日新聞本社ビル(東京・竹橋)で開催する。同セミナーには講演者の1人として、Webアプリケーションセキュリティの第一人者であるHASHコンサルティングの徳丸浩氏が登壇する。脆弱性対策が十分でない安価なレンタルサーバ上のWebサイトが集中的に攻撃された事例があるが、その中には、大手著名企業の被害も多数出ている。「ウチは個人情報を扱っていないから大丈夫」と思っているなら要注意。小誌では、脆弱性が狙われることのリスクと有効な対策について同氏に話を伺った。
「2014年版! 標的型攻撃対策セミナー ~最近の事件から学ぶ、攻撃手口と運用留意点~」の参加申し込みはこちら(参加費無料、2月28日(金)開催、東京都千代田区、開場13:00~) |
Webサイト改ざんに関する最近の傾向とは
HASHコンサルティング |
最近のセキュリティ脅威の特徴として、Webサイトの改ざん被害の増加が挙げられる。なかでも、特定の業種や業界のユーザーが集まるWebサイトを改ざんし、マルウェアに感染させる「水のみ場攻撃」の増加が最近の傾向として挙げられる。また、広く普及しているフリーウェアのアップデート用サーバが改ざんされ、被害が拡大するといった事態も起きている。高速増殖炉「もんじゅ」の事務端末がウイルスに感染する原因となった「GOM Player」の事件も、いわゆる水飲み場攻撃とは少し違うが、Webサイトの改ざんが攻撃の糸口になったとされる。
かつてのWebサイト改ざん事例は、トップページに国旗などの画像を表示するといったわかりやすいものが多く、自己顕示欲を満たすといった幼稚な意図を反映するものが多かった。しかし最近では、見た目だけでは改ざんの事実がわからない例が増えてきている。
徳丸氏は、「最近は攻撃者の動機が変わってきており、ターゲットとするWebサイトの種類を選ばなくなってきています。しかし、多くの攻撃者の最終目的はWebサイトの改ざんだけではありません。組織内部の情報を窃取することを目的とし、その手段として組織内部のPCをマルウェアに感染させようとします」と指摘している。
攻撃者がサーバに侵入する経路は、「脆弱性を突く」「認証を突破する」の2つであるので、これら両方をバランスよく防御することが重要である。脆弱性を悪用したサイト改ざん事件も増加しているが、この数年で大きく変わったことは、「脆弱性が公知になってからそれを悪用した攻撃までの時間が短くなっている」(徳丸氏)ことだ。このため、未知の脆弱性を悪用した「ゼロデイ攻撃」でなくても、脆弱性対策が間に合わず、改ざんに至ってしまうケースが多い。
Web改ざんが企業に与えるダメージは意外に大きい
では実際に、Webサイトの改ざんは、企業にどんな影響を与えるのだろうか。一時的に企業イメージが悪化するといったことは容易に想像できるが、徳丸氏はそれだけではないと警鐘を鳴らしている。
「Webサイト改ざんは、自社サイトに訪れたユーザーをマルウェアに感染させ、次の攻撃対象への踏み台にし、ユーザーを『加害者』に仕立ててしまうリスクが伴います。また、マルウェアに感染させて乗っ取られたPCから、組織内部の情報が窃取されるといったことも起きています」(徳丸氏)
2004年に施行された個人情報保護法によって、個人情報を保有する企業はWebサイトのセキュリティ対策を一斉に強化した。しかし、それが逆に「個人情報を扱っていないからWebサイトのセキュリティは不要」と考える原因のひとつになっていると徳丸氏は言う。
「Webは世界中をつなぎ、セキュリティの面でも相互に影響を及ぼしています。たとえば、2013年は『パスワードリスト攻撃』が多く発生しました。これはセキュリティ対策の弱いWebサイトが攻撃され、IDやパスワードを含む個人情報が盗まれたというものです。攻撃者はこの情報を元に別のWebサイトでログインを試行します。そのWebサイトがどんなに高度なセキュリティ対策を導入していても、正規のIDとパスワードでアクセスされたら守りようがありません。この攻撃にはユーザーのパスワード管理意識の問題もありますが、結果として不正ログインされてしまうのです。最近では、このような攻撃の連鎖があります」(徳丸氏)
2月28日(金)に開催される「2014年版! 標的型攻撃対策セミナー」では、徳丸氏が「加害者にならないためのWebサイト保護施策~最新の動向を踏まえて~」と題し、自社が加害者にならないためのセキュリティ対策について詳しく解説を行う予定だ。本セミナーは、ITインフラの管理に十分なリソースを割り当てられない兼任IT部門担当者や"ひとり情シス"の企業担当者にぜひとも足を運んでいただきたい。
|
|
