WebサイトセキュリティはPDCAよりもCAPD、中小企業も無視できないサイバー攻撃の傾向と対策/シマンテック・ウェブサイトセキュリティ
小規模企業にも広がるWebサイト攻撃と、攻撃手法の多様化
近年、Webサイトへの攻撃はますます激化し、シマンテックの「インターネットセキュリティ脅威レポート2012」によると、2012年は2011年に比べて標的型攻撃が42%増加したという。標的型攻撃とは、企業や団体が持つ情報の取得など、特定の目標に対して行われるサイバー攻撃で、この傾向は今でも進行中だ。中でも特筆すべきは、大手企業への攻撃はもちろんだが、小規模企業を狙った攻撃の総数が増えていることだ。小規模企業を狙った攻撃の総数は、2011年から2012年にかけて3倍に増加、全攻撃中の割合も18%から31%とほぼ倍増している。
シマンテック・ウェブサイトセキュリティの「ウェブサイトセキュリティ脅威レポート2013」によると、1回の攻撃で流出した個人情報の平均件数は60万4,826件にものぼる。JNSA(日本ネットワークセキュリティ協会)の「情報セキュリティインシデントに関する調査報告書」によると、平均損害賠償金額は約7,500万円と見込まれる。IPA(情報処理推進機構)の「企業における情報セキュリティ事象被害額調査」によると、情報漏えい事件が起きた際の調査費用、セキュリティ再構築費用には平均5,000万円から1億円ものコストが生じるという。これらに加えてブランドの毀損や風評被害、ブランドイメージの低下などを加味すれば、その被害は計り知れない。
企業Webサイトの管理者は、会社を出たら1人の個人です。その個人として行動しているときを狙われています。パソコンを自宅に持ち帰った際や、昼休みにWebサイトにアクセスをした際などにウイルスに感染し、それが原因で企業Webサイトの管理者権限を奪われてしまうケースがあります(安達氏)
中でも、最近急増して問題視されているのが、大手製造業への攻撃例において、取り引き先である中小企業をウイルスに感染させ、それを“踏み台”として、本丸の製造業を攻撃対象にする、いわゆる「水飲み場攻撃」だ。仮に、自社を経由した攻撃により大手取引先が被害を受け、取引停止となった場合、大きな経営的ダメージがあるだろう。中小企業にとってもWebサイトセキュリティの重要性は増し続けている。
Webサイトへの攻撃方法は下記の通り多様化しているが、その約80%がWebアプリケーションへの攻撃だという。Webアプリケーションはどんどん新しいものが登場する。そのたびに新たな脆弱性が発生しており、それを突く新たな攻撃手法が開発されてしまう。もちろん防御手法も対抗して開発されるのだが、対策までの隙を突かれて攻撃が成立してしまうのだ。
Webサイトへの攻撃手法の例
- Apache Strutsの脆弱性
- SQLインジェクション攻撃
- パスワードリスト攻撃
- CMSの脆弱性
- ドライブバイダウンロード攻撃
- Darkleech Apache Module
- 管理者パソコンへのマルウェア混入
OpenSSL脆弱性とHeartBleedの問題
続いて安達氏は、2014年4月、OpenSSL(オープンエスエスエル)に情報漏えいにつながる重大な脆弱性が発覚し、広範囲に影響が及んだ事件について振り返った。
OpenSSLとは、オープンソースの暗号ソフトウェアライブラリであり、サーバがSSL/TLSと言う暗号方式を利用するために使用されるものだ。OpenSSLは、ApacheやNginxといったWebサーバに広く使われているほか、SSL通信を行うアプリケーションなどに広く使われている。
今回発覚した脆弱性は「HeartBleed(ハートブリード)問題」と呼ばれ、OpenSSLの持つ、SSLの死活を監視する拡張機能「HeartBeat」を利用している場合に、SSL通信を行うためのチェック機能を果たしていないというバグを突いた攻撃だ。
OpenSSLとSSL証明書は別物です。今回のHeartBleed問題は、SSL/TLSの問題ではなく、SSLサーバ証明書の問題でもありません。SSLサーバ証明書が危険になったという話ではないことを理解ください(安達氏)
HeartBleedの問題点を突かれると、「パスワードやクレジットカード番号などの個人情報」「サーバの秘密鍵」などが漏えいすることになる。前者の漏えいの問題点に関してはいわずもがなだが、さらに問題なのはサーバの秘密鍵の漏えいだ。秘密鍵が漏えいすると、SSL暗号通信が解読されてしまい、サイトの偽のコピーが作成されてしまうのだ。攻撃の影響範囲は、該当するWebサイトと、そのWebサイトに個人情報を入力した利用者となる。そのため、Webサイト管理者と利用者は、それぞれ以下の対策を行う必要がある。
Webサイト管理者が行うべき対策
- OpenSSLを修正版(1.0.1g)に更新(またはHeartbeat拡張機能を使わない)
- OpenSSLの更新後、SSLサーバ証明書を再発行(シマンテックとジオトラストは、無償で再発行)
- SSLサーバ証明書の入れ替えが完了したら、古い証明書は失効(リボーク)
- エンドユーザーのパスワードをリセットすることも検討
消費者(Webサイト利用者)が行うべき対策
- 利用しているWebサイトからのパスワード変更を喚起されたら速やかに実施
- パスワード更新メールはフィッシングメールである可能性にも注意し、URLに注意(公式サイトのドメインであるかなど)
- 銀行口座やクレジットカードの明細で不審な取引がないか確認
2013年度に起きたWebサイトへの攻撃事例
続いて安達氏は、2013年度に起きたWebサイトへの代表的な攻撃事例をいくつか紹介した。
(1)X社の例:Apache Struts 2の脆弱性
2013年3月、WebアプリケーションフレームワークであるApache Struts 2の脆弱性を利用した不正アクセスを受けてサイトを閉鎖。サイトが再開できたのは同年8月上旬となった。実施した対策は下記の通り。
実施した対策
- 不正アクセスの可能性を検知し、自動的に遮断する機構の導入
- 改ざん検知機構の導入
- アクセス制御の厳格化
- アプリケーション脆弱性の対策と断続監視体制の強化
- システムの完全再構築
- クレジットカード情報の完全不保持への移行
- 会員ログインフォームのセキュリティ向上
- PCI DSS完全準拠
- 社内体制の厳格化
(2)Y社の例:SQLインジェクション攻撃
2013年4月にSQLインジェクション攻撃を受け、「カード名義人名」「カード番号」「カード有効期限」「セキュリティコード」「申込者住所」が漏えいし、Webサイト停止を余儀なくされた。実施した対策は下記の通り。
実施した対策
- 侵入経路の遮断及びお客様情報の削除
- クレジットカードのモニタリング
- クレジットカード情報の非保持
- 当該サーバのシステムの変更
- 第三者機関による脆弱性調査
- 所轄警察署への報告および所轄官庁への第一報
- 上記に加え、代表取締役社長の月額報酬30%を3か月減額
(3)パスワードリスト攻撃
不正取得したIDとパスワードのリストを流用し、別のWebサイトへ不正にログインする攻撃手法(アカウントリスト型攻撃とも呼ぶ)は、昨年から増え始めた攻撃方法で、多くの企業やユーザーが被害を受けている。根源的な問題として、ネットユーザーが同じID、パスワードを使い回していることがあり、解決は難しい。
パスワードリスト攻撃は、他の攻撃手法に比べて成功率が10倍以上と言われるほど高く、しかも、サイト運営者側が気づきにくいという特徴があります。サイト運営者は、ユーザーがパスワードを他のサイトと使い回しているかどうかを確認できません。それが被害発見の遅れにつながります(安達氏)
WebサイトセキュリティはPDCAよりCAPD
こうした増え続ける攻撃にWeb担当者はどう対応すべきなのだろうか。安達氏は「Webサイトのセキュリティ面においては“PDCA”より、むしろ“CAPD”が重要ではないか
」と述べる。
CAPDとは
- CHECK(評価)
- ACT(改善)
- PLAN(計画)
- DO(実行)
安達氏は特に「CHECK(評価)」の部分を可視化することが大切であると述べ、Webサイトの可視化ソリューション「シマンテックウェブサイト診断ソリューション」と、可視化されたWebサイトの脆弱性を改善する「シマンテックウェブサイト防御ソリューション」を紹介した。
Webアプリケーションの改修を行おうとしても、なかなか予算が獲得できないことや開発者の確保が困難であるなどの理由で、危険性の高い脆弱性が発見されたとしても放置されている事例は少なくない。何とか予算や開発者を確保したとしても、脆弱性の修正には時間がかかることも問題だ。安達氏は、「IPAの調査によれば、脆弱性の修正に91日以上の日数を要したという事例は全体の48%に上る
」と語る。Webサイト攻撃の被害にあったうち、約半数の企業・団体が脆弱性対策に3か月以上を要しているということだ。
もし自社サイトに脆弱性が発見されたとしても、すぐに修正できない場合に役立つのが、シマンテックウェブサイト防御ソリューションが持つ「シマンテッククラウド型WAF」機能である。外部の攻撃からWebサイトを防御するWAF(Web Application Firewall)機能がクラウド型で提供されるので、現在のWebアプリケーションに変更を加えることなく、しかも短期間で導入できる。さらに、運用やシグネチャ更新はクラウド側で対応することも利点だ。
一般的なファイアウォールでは、SQLインジェクションやクロスサイトスクリプティング、パラメータ改ざんなどは防げません。また、IPS/IDS(不正侵入防御・検知システム)では、難読化されている攻撃に対する認知精度は低いと言われています。実際、WAFで検知したサイバー攻撃のうち、IPS/IDSは、その54%を検知できなかったという報告もあります。WAFであれば高い防御力を実現できます(安達氏)
Webアプリケーションの脆弱性をついた攻撃は活発化している。中小企業においても例外ではなく、Webサイトセキュリティの重要性は増し続けている。まずは、自社サイトの診断を行い、その内容に応じた改修あるいは防御を検討してほしい。
合同会社シマンテック・ウェブサイトセキュリティ
https://www.jp.websecurity.symantec.com/
ソーシャルもやってます!