Web攻撃と脆弱性

【必見】最新版!Web攻撃と脆弱性について10のパターンを紹介!

by ブログ

近年、Webサイトを対象とした悪意のある攻撃者からのサイバー攻撃が後を絶ちません。ペンタセキュリティ株式会社とクラウドブリック株式会社が共同で公開した2021年第2四半期のWeb脆弱性トレンド情報によると、Web脆弱性発生件数は上昇傾向にあり、2021年6月は70件が発生しました。Webアプリケーションの脆弱性を狙った攻撃が巧妙化し、セキュリティ対策の必要性はますます高まっています。 そのため、Webアプリケーションを利用したサービス提供をしているのなら、最新のWeb攻撃の動向や事例は、知っておくべきでしょう。

 本記事では、Webアプリケーションの脆弱性を狙ったWeb攻撃の動向や事例についてまとめました。

Web攻撃動向レポートのダウンロードはこちら

 

最新版!Web攻撃と脆弱性10選

Webアプリケーションとは、インターネット上で稼働するシステムの総称で、主に、Webサーバー上で動作し、ChromeなどのWebブラウザで操作します。それに対して、スマートフォンなどの端末やパソコンにインストールして利用するアプリケーションはネイティブアプリケーションと呼んでいます。ちなみに、これらの2つの大きな違いは、利用する際にインターネットアクセスの有無で、一般的には、Webアプリケーションはインターネットへアクセスする必要があるため、攻撃者からのサイバー攻撃に遭遇する危険性が伴います。 

それでは、最新のWebアプリケーションへ主に発生する10のWeb脆弱性について詳しく見てみましょう。

  • クロスサイトスクリプティング
  • サービス運用妨害(DoS)
  • メール不正中継
  • バッファオーバーフロー
  • 強制ブラウズ
  • ディレクトリトラバーサル
  • コマンドインジェクション
  • SQLインジェクション
  • URLパラメータの改ざん
  • ファイルアップロード

過去のWebアプリケーション脆弱性についての記事は、こちらをご覧ください。

 

クロスサイトスクリプティング(XSS攻撃)

「クロスサイトスクリプティング」とは、悪意のあるスクリプトが挿入されたWebサイト(ページ)を直接的なターゲットとしているのではなく、サイト利用者・閲覧者をターゲットとした攻撃のことです。例えば、攻撃者が悪意のあるスクリプトを埋め込み、それを利用者が閲覧し実行してしまった場合、利用者は偽サイトに移動(クロスサイト)してしまいます。

クロスサイトスクリプティングは、Webアプリケーションへ主に発生するWeb攻撃(脆弱性)の1つとされており、それに気付かずに情報を入力してしまい、フィッシング詐欺やセッションハイジャックに遭う危険性があります。

 

サービス運用妨害(DoS攻撃) 

「サービス運用妨害」とは、処理に時間のかかるアルゴリズムを採用しているなどの脆弱性を狙ったWeb攻撃です。一般的には、Webアプリケーションへ主に発生するWeb攻撃に起因することから、DoS攻撃とも呼ばれています。例えば、Webサーバーに対して通常の範囲を超えたアクセスメール送信などを行い、メモリやCPUを全稼働させて処理速度を低下させます。

 また最近、DoS攻撃の進化版でもあるDDoS攻撃(不正な方法で乗っ取った複数のマシンを使ったDoS攻撃)の攻撃・被害件数も増加傾向がみられます。

 

メール不正中継

メールサーバ(SMTP)はメールが送られてきた際、自身のドメイン宛てのメールではなかった場合、別のメールサーバに転送します。そして、この機能を利用して攻撃者が他人のサーバを使い、送信元の身元が分からない大量の迷惑メールを送信する攻撃のことを「メール不正中継」と呼びます。Webアプリケーションへ発生するWeb攻撃のポイントとしては、主に下記の2つがあります。

  • 使用している電子メール配送プログラムに、メール中継に関する制限を設定していない
  • そもそも設定がないなどの脆弱性がある

これらの脆弱性により、メール不正中継などのサイバー攻撃を受けてしまう危険性があります。

また、攻撃者から大量の迷惑メールが送られてくることで、サーバが本来必要のないメール配信処理をすることになり、提供しているWebアプリケーションを利用したサービスに影響が出ます。

 

 バッファオーバーフロー

「バッファオーバーフロー」とは、データの受け取りや保管のために用意された領域(バッファ)に想定以上の長さのデータを書き込んでしまうが原因で発生するWebアプリケーションにおけるWeb攻撃のことです。溢れたデータが隣接する領域を不正に書き換えてしまったり、それによって動作異常が発生したりします。

 バッファオーパーフローは、典型的なWebアプリケーションの脆弱性の1つで、攻撃者が外部から故意に想定よりも膨大なデータを送り込んでプログラムを異常終了させたり、攻撃用のコードを送り込んで実行させたりするということです。

 

強制ブラウズ

利用しているWebアプリケーションに、URLへのアクセスを適切に制御していない脆弱性がある場合、「強制ブラウズ」という攻撃に遭遇する危険性があります。強制ブラウズとは、Webページ上からリンクを辿るのではなく、アドレスバーからURLを直接入力して本来システム側では公開していないはずのディレクトリやファイルなどにアクセスを試みること、つまり、強制的にブラウザに表示させられてしまいます。

  • ディレクトリの配置ミス
  • ファイルの配置ミス
  • Webサーバの設定ミス

Webアプリケーションにおける矯正ブラウズの脆弱性発生の原因としては、主に、上記3つが挙げられます。

 

ディレクトリトラバーサル

「ディレクトリトラバーサル」とは、「../」のような文字列を使ってサーバのディレクトリ・パスを遡る攻撃のことです。Webサーバに置いたままにしている非公開ファイルにアクセスし、そこに保存されている情報を盗まれる危険性があります。

Webアプリケーションを利用して目的のデータを表示させるようなサービスを提供しているサイトに入力される可能性のあるデータに対する考慮不足があった場合、ディレクトリトラバーサルの被害に遭遇する危険性が伴います。

 

コマンドインジェクション

「コマンドインジェクション」とは、コマンド(コンピュータの利用者がOSのシェルに与える文字列による命令のこと)を利用し、Webアプリケーションの脆弱性を悪用する攻撃です。WebアプリケーションのコードにOSコマンドの呼び出し処理があり、ユーザーが入力したデータがコマンドの一部分を構成している場合に発生します。

  • 攻撃者がWebサーバ内に保存されているファイルを読み出す
  • システムに関係する操作、プログラムを不正に実行することが可能
  • 情報漏洩だけでなく、サーバー自体が乗っ取られてしまう危険性がある

コマンドインジェクションによって、上記のような危険性が伴います。

 

SQLインジェクション

「SQLインジェクション」とは、データベース言語(SQL)を利用して、Webアプリケーションの脆弱性を悪用する攻撃のことをいいます。コマンドインジェクションと同様に、攻撃者がWebサーバ内に保存されているファイルを読み出したり、システムに関係する操作、プログラムを不正に実行されたりします。

ユーザIDとパスワードを入力するサイトで、入力情報がアプリケーション内部でSQL文として解釈されてしまう脆弱性がある場合に、被害を受けてしまうため注意が必要です。

 

URLパラメータの改ざん

URLパラメータとは、URLにパラメータというプログラムを付け加えたシステムのことです。URL末尾に「?」が付け加えられ、「?」以降の文字列がパラメータとなります。

 このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんして、不正アクセスを行う攻撃が「URLパラメータの改ざん」の手口で、Webサイトが改ざんされたり、Webサーバが誤動作するようにされてしまいます。

 

ファイルアップロード

「ファイルアップロード」とは、攻撃者がWebシェル(悪意のあるプログラム)をアップロードして、悪意のあるスクリプトを注入することです。Webサーバーなどに意図しない動作を引き起こさせたり、情報を抜き出されたりします。ファイルのアップロード機能のあるページの脆弱性を衝いてくる攻撃です。

 

Web攻撃による脆弱性に関する事例を紹介!

当社の「EDB/CVEレポート」で公開している通り、2021年第2四半期(4・5・6月)の脆弱性件数は合計169件でした。

ここでは、2021年第2四半期に脆弱性が観察されたWebアプリケーションの事例として、WordPress事例を紹介します。WordPressとは、Webサイトやブログを簡単に作成できるアプリケーションのことで、Webアプリケーションに起因するシステムの脆弱性により、Web攻撃を受けやすいことが特徴です。しかし、インターネット上の40.0%以上のサイト・ブログでWordPressが採用されていることを受け、WordPressの脆弱性を突いたサイバー攻撃が後を絶ちません。

2021年第2四半期で発生した、サイバー攻撃の手口といえばクロスサイトスクリプティングとSQLインジェクション。しかし、WordPressの事例では、ファイルアップロードなども確認されています。

概要について、下表にまとめました。

日付 脆弱性カテゴリ 脆弱性名
2021.5.19 クロスサイトスクリプティング WordPress Plugin Stop Spammers 2021.8 – ‘log’ Reflected Cross-site Scripting (XSS)
2021.5.24 クロスサイトスクリプティング WordPress Plugin ReDi Restaurant Reservation 21.0307– ‘Comment’ Stored Cross-Site Scripting (XSS)
2021.5.25 クロスサイトスクリプティング WordPress Plugin Cookie Law Bar 1.2.1 – ‘clb_bar_msg’ Stored Cross-Site Scripting (XSS)
2021.5.28 クロスサイトスクリプティング WordPress Plugin LifterLMS 4.21.0 – Stored Cross-Site Scripting (XSS)
2021.6.1 クロスサイトスクリプティング WordPress Plugin WP Prayer version 1.6.1 – ‘prayer_messages’ Stored Cross-Site Scripting (XSS) (Authenticated)
2021.6.7 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Arbitrary File Upload (Unauthenticated)
クロスサイトスクリプティング WordPress Plugin Smart Slider-3 3.5.0.8 – ‘name’ Stored Cross-Site Scripting (XSS)
2021.6.8 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Remote Code Execution (Unauthenticated
2021.6.9 クロスサイトスクリプティング WordPress Plugin visitors-app 0.3 – ‘user-agent’ Stored Cross-Site Scripting (XSS)
2021.6.23 SQLインジェクション WordPress Plugin Poll_ Survey_ Questionnaire and Voting system 1.5.2 – ‘date_answers’ Blind SQL Injection
クロスサイトスクリプティング WordPress Plugin WP Google Maps 8.1.11 – Stored Cross-Site Scripting (XSS)
2021.6.28 クロスサイトスクリプティング WordPress Plugin YOP Polls 6.2.7 – Stored Cross Site Scripting (XSS)

なかには、深刻度が緊急(Critical)および重要(High)の指標も存在し、悪用された場合、第3者に遠隔から任意のコードを実行される危険性(RCE)もあります。Web脆弱性が確認される度に修正はされていますが、今後も注意が必要です。

 

まとめ

今回は、Webアプリケーションへ主に発生するWeb脆弱性の種類と事例について解説してきました。攻撃者はさまざまな巧妙な手口で、Webアプリケーションへの攻撃(脆弱性)を狙ってきます。また、WordPressなどのWebアプリケーションはとても便利ですが、脆弱性については数多く報告されています。そのため、脆弱性を狙った攻撃から守るためにも、Webセキュリティは最新の状態に更新しておきましょう。

最新のWeb脆弱性の情報はこちらからご確認ください。

Web攻撃動向レポートはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

クラウドマイグレーションとは?オンプレミス環境の違いについて

【企業向け】クラウドマイグレーションとは?オンプレミス環境との比較解説

by ブログ

総務省の「令和2年版情報通信白書」によると、企業によるクラウドマイグレーションの割合は64.7%(令和元年度:58.7%)でした。このことからも、自社で物理的なサーバを保有して管理・運用するオンプレミス形態の環境から、クラウドマイグレーションする企業が増加傾向にあることが分かります。クラウドマイグレーションによって、クラウド環境に移行すれば、コストの大幅カットが見込めるといわれていますが、他にもさまざまなメリットがあります。本記事では、クラウドマイグレーションとオンプレミス環境との違いについて解説していきたいと思います。

 

クラウドマイグレーションとオンプレミス環境との違いについて

ここでは、クラウドマイグレーションとオンプレミス環境との違いについて解説しています。その前に、クラウドマイグレーションについて詳しくみていきましょう。

クラウドマイグレーションとは?

クラウドマイグレーションとは、自社内に設置した物理的なサーバで運用してきたシステムを、外部の事業者のクラウド環境のサービスでのシステム運用に切り替えることです。和訳すると、「クラウド化」「クラウド移行」といった意味です。

 クラウド環境とは、従来、個々のストレージや自社の物理サーバに保存していたデータを、外部の一ヵ所で集約・管理し、必要なときにインターネットを経由して利用できる環境のことで、そのクラウド環境を提供しているサービスのことを総称して、「クラウドサービス」と呼んでいます。クラウドサービスは、利用者が場所を選ばずどの端末からでも利用することができることから、数年前から需要が高まっています。そして、このような社会的背景から、企業のクラウドマイグレーションへの移行が進む傾向にあるということがいえます。

 

オンプレミス環境との違いは?

もともと、大手企業を中心に導入が進んできたオンプレミス環境。オンプレミス環境とは、自社内に設置したサーバ-や情報システム設備で、社内のさまざまなシステムを運用する環境のこと。和訳するとは、「自社運用」という意味です。それでは、企業が導入するクラウドマイグレーションとオンプレミス環境には、どのような違いがあるのでしょうか。クラウドマイグレーションとオンプレミス環境との比較項目として、下記の5つを挙げることができます。

  • 品質
  • コスト
  • 調達スピード
  • カスタマイズ性
  • セキュリティ面

この5つの項目を下表にまとめてみました。

クラウドマイグレーション オンプレミス環境
品質 オンプレミス環境に比べて通信速度が劣る  通信速度は速く、安定している
コスト 基本、月額利用料以外の費用がかからない 初期導入費や維持・管理費など、さまざまな費用がかかる 
調達スピード 即日の利用開始が可能 利用できるまでに時間がかかる
カスタマイズ性 自由にカスタマイズできない 自由にカスタマイズが可能
セキュリティ面 自社での対策は必要ない 自社で対策が必要となる

<品質>

5G化などにより通信速度は年々向上しています。しかし、クラウドマイグレーションでは、ネットワークを介して離れたところにあるサーバへアクセスするため、回線の速度と質は安定していません。一方、オンプレミス環境は社内のネットワークを利用しているため、回線の速度と質が安定しています。ただし、オンプレミス環境の品質は、サーバ・システムを構築したエンジニアのスキルによって差異が生じます。

<コスト>

自社内に物理サーバを設置してシステムを運用するためには、必要となる機器の購入費や設置に関する工事費など、さまざまな初期費用がかかります。また、運用や管理にもコストがかかり、拡張となれば新たな購入費や工事費などが必要です。しかし、クラウドマイグレーションを導入すれば、自社でサーバー環境を保有する必要がないため、初期費用だけでなく、運用・管理に必要となる費用を大幅に抑えることができます。ただし、利用するサービスによっては月額利用料は利用した従量によって変動することがあります。そのため、月額費用が固定されるオンプレミス環境と比べて予算化が難しい場合もあります。

<調達スピード>

必要となる機器の購入や工事が必要になり、設置しても調整しなければ運用がスタートできないのがオンプレミス環境です。そのため、調達・導入・運用には相当な時間がかかります。クラウド環境はオンプレミス環境と比べてすぐに使用可能であることが特徴です。自社のシステムにマッチングするための調整時間は必要ですが、サーバ構築を自社内で行わないため、調達スピードはクラウドマイグレーションの方が圧倒的にスピーディーです。

<カスタマイズ性>

クラウドマイグレーションするデメリットとして、システムのカスタマイズが行いにくいことが挙げられます。一方、オンプレミス環境は、自社でサーバー・システムを管理・運用しているため自由にカスタマイズすることが可能です。しかし、クラウドマイグレーションをは、契約した他社が提供しているサービスを活用しているため、システム環境を自由に変更・カスタマイズすることは困難です。ただし、リソース面でのカスタマイズは可能なサービスが多く、リソースのカスタマイズ性でいえば、オンプレミス環境よりも優れています。

<セキュリティ面>

企業を狙った新たなサイバー攻撃の手法は年々増加しています。オンプレミス環境では、障害が起きたり、サイバー攻撃を受けた場合、自らでWebセキュリティ対策をしなければなりません。しかし、クラウドマイグレーションは提供する会社が基本的なWebセキュリティ対策を行うため、コストをかけずにセキュリティ対策を取ることは大きなメリットといえます。ただし、外部とのネットワークを利用するクラウドマイグレーションは、外部からのハッキングや情報漏れなどのリスクは高くなるため、WAF(Webアプリケーションファイアウォール)等を導入しセキュリティを更に強固にする必要もあります。

 

企業がクラウドマイグレーションに移行する3つのメリットとは?

次に、企業がクラウドマイグレーションに移行する3つのメリットについて解説します。

<低コストで導入可能>

一般的に、オンプレミス環境でシステム運用する場合は、下記のような費用がかかります。

  • サーバーの設置費
  • 付帯設備費
  • ハードウェアやソフトウェアの購入費
  • ライセンスの購入費
  • システムの維持・管理費

これらの費用は、場合によっては数千万円かかることもあり、企業運営にとって大きな課題でした。しかし、クラウドマイグレーションであれば、これらのコスト削減が可能です。さらに、システム運用や維持・管理のために、エンジニアなどの専門家を雇う必要もなくなるため、人件費も抑えることができます。

<障害時にかかる復旧が容易>

どんなに慎重にシステム管理していても、突然何らかの原因でシステムに障害が発生する危険性はあります。もし、オンプレミス環境で運営していれば、障害が発生した場合自らで対応しなければなりません。社内に専門チームがあればすぐに復旧できますが、そうでなければ復旧には相当な時間を要します。

 それに対してクラウドマイグレーションは、障害への対応は基本的に提供会社が行います。しかも、専門的な知識を持つ運用スタッフが対応するため、短時間で復旧することは大きなメリットといえるでしょう。

 また、障害時にサーバが破損して、会社の大切なデータが失われてしまうリスクも軽減できます。

<屈強なセキュリティ>

クラウドマイグレーションでは、経済産業省の「クラウドセキュリティガイドライン」をベースに、情報セキュリティ管理・対策を行っています。経済産業省が策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称で、クラウドという概念が広まった当初、運用にあたっての明確なルールは存在せず、多くの顧客情報や社外秘とされる情報が流出する危険性がありました。この問題に対処するべく策定され、発生した事例に対応できるように制定されたルールが「クラウドセキュリティガイドライン」です。詳細を見ると、企業のクラウドマイグレーション運用において、クラウドセキュリティガイドラインに則ってWebセキュリティ管理を行っているため、安心して利用できるということです。

ちなみに、クラウドマイグレーション事業者が適切なデータ保護やセキュリティ対策を実施していることをマークとして表示する制度もあります。実績のある会社のクラウドマイグレーションであれば、屈強なWebセキュリティ対策も可能でしょう。

しかし、クラウドを導入するにあたって、注意しなければならないこともあります。IaaS、PaaS、SaaSなど種類によって違いますが、ユーザ側にもセキュリティ面での責任はあります。例えば、SaaSの場合、クラウド上のデータ管理についてはユーザの責任範囲であることが一般的です。

だからこそ、オンプレミス環境であっても、そしてクラウド環境であっても、ユーザ自らセキュリティに対して徹底的な検討を行い、どのようなセキュリティ対策を導入するかを決定していくことが求められます。

詳しい内容は下の記事を参考してください。

https://www.cloudbric.jp/blog/2021/03/cloud_security_u_must_know/

 

さいごに

今回は、企業におけるクラウドマイグレーションをテーマに解説してきました。クラウドマイグレーションには、コスト面やセキュリティ面など、多くのメリットがあるため導入を検討している企業も増加傾向にあります。しかし、すべての面でクラウドマイグレーションがオンプレミス環境より優れているということではありません。

例えば、オンプレミス環境で利用できていたシステムが、クラウド環境にしたら利用できないこともあります。また、トラブルが発生したりするなど、クラウドマイグレーションに移行したことによって、既存システムとの連携が困難となるケースも報告されてます。

そして、十分な検討なく短期間でクラウド移行を進めることによって外部からのハッキング等に十分に対策を取っていない状況でセキュリティ事故が起きたりするケースもあります。

そのため、企業でのクラウドマイグレーション導入は、セキュリティ対策を含めて、慎重に検討しましょう。

 

クラウド型WAFサービス「Cloudbric WAF+」

Cloudbric WAF+

2021年度版サイバー攻撃の動向

サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

by ブログ

コロナ過を踏まえインタネットは個人だけでなく企業・法人にも欠かせない存在となり、2021年現在、企業におけるデジタル化への対策は待ったなしの状況となっています。インタネットを通じて日々膨大な情報が行き交っていますが、世界規模でみれば同時に悪意のある第3者によるサイバー攻撃事例が日々発生しています。

このようなサイバー攻撃に対抗する手段として、政府も「サイバーセキュリティ基本法」を策定するなど動きか活発化しています。サイバー攻撃を防ぐためにも、Webセキュリティ対策は最重要です。また、現代社会におけるサイバー攻撃に関する動向や、直近で発生した事件・事故、セキュリティ問題についても知っておく必要があります。

 本記事では、2021年度上半期に発生したサイバー攻撃の事件・事故などについて解説しています。

 

2021年度!セキュリティ問題と脅威ランキングTOP3

まずは、2021年度に発生した脅威やセキュリティ問題について、詳しくみていきましょう。

3位|テレワークなどのニューノーマルな働き方を狙ったサイバー攻撃 

2020年以降、新型コロナウイルスの感染防止を目的に、テレワークでの働き方が推進されています。このような社会的な背景から、テレワークなどのニューノーマルな働き方を狙った企業へのサイバー攻撃件数が増加しています。そもそも、悪意のある第3者がテレワークでの働き方をターゲットとする理由は、従業員の出社を前提とした従来のWebセキュリティ対策ではカバーできないことが挙げられます。つまり、企業努力によるWebセキュリティ対策を施していても、従業員個人では認識が甘く、穴を突いてサイバー攻撃を仕掛けてくるということです。また、突然の緊急事態宣言の発令で、セキュリティ対策に関する計画を立てる間もなくニューノーマルな働き方の導入をすることになった企業も少なくありません。そのため、ニューノーマルな働き方を推進している現代社会において、Webセキュリティの脆弱性が問題視されています。 

2位|標的型攻撃による機密情報の窃取 

機密情報を狙った標的型攻撃は、2021年度も継続して発生しています。標的型攻撃とは、明確な目的を持って特定の企業などに狙いを定めて仕掛けるサイバー攻撃のことです。悪意のある第3者が標的型攻撃を行う目的は、攻撃対象への嫌がらせが目的です。また、その際に機密情報を窃取するケースも少なくありません。

金額的被害だけでなく、顧客の個人情報など企業にとって致命的な情報が流出した場合、Webセキュリティが問題視され、取引停止や企業イメージの失墜など、間接的被害を受ける可能性もあるので要注意です。

 1位|ランサムウェアによる被害 

2020年度は5位だった、ランサムウェアによるサイバー攻撃が、2021年度は急増しています。ランサムウェアとは、コンピュータウィルスの1種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語です。パソコンだけでなく、タブレット端末やスマートフォンのOSにも感染する危険性が伴います。

ランサムウェアに感染すると、Webセキュリティ問題が発生して保存しているデータが、勝手に暗号化されて使えない状態にされたり操作できなくなったりしてしまいます。企業や店舗に嫌がらせをすることが目的の場合もありますが、復旧を条件に悪意のある第3者が金銭(身代金)を要求してくるケースも少なくありません。また、金銭を支払っても、ランサムウェアによる攻撃で窃取された情報やデータを暴露されてしまうケースも発生するため、このような事例では、絶対に身代金は支払わないようにしましょう。

 

2021年度!サイバー攻撃の動向や事件・事故の事例3選

次に、2021年度に発生したサイバー攻撃の動向や事件、事故の事例を紹介します。なお、GSX発表の「2021年ニュース一覧」を参考にしています。

ランサムウェア攻撃の事例(DearCryによる攻撃)|2021年3月

2019年後半以降、ランサムウェアによる攻撃は2重の脅迫を用いた手口での攻撃が増加しているだけでなく、新種・亜種のランサムウェアウィルスが続々と確認されています。

2021年3月16日にはMicrosoft社が、「Microsoft Exchange Server」のWebセキュリティの脆弱性を悪用した「DearCry」と呼ばれる新しいランサムウェアが確認されたことを発表しました。「DearCry」は、悪名高いランサムウェア「WannaCry」の亜種だとみられています。「Microsoft Exchange Server」 のオンプレミス版に存在している複数のWebセキュリティの脆弱性が、パッチによって修正されるまでにゼロデイを狙ってばらまかれました。

その後は、米国やカナダ・オーストラリアを中心に、多くのサイバー攻撃やWebセキュリティ問題が報告されました。

スマホ決済の不正利用の事例(PayPayを使った不正チャージ)|2021年3月

2021年3月18日、警察庁が、スマートフォン決済サービスを利用した不正チャージ事件についての情報を公開しました。事件が発生したのは2020年9月、確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。また、ドコモ口座とPayPayだけでなく、ゆうちょ銀行の口座と連携するメルペイやKyash・LINE Pay・PayPal・支払秘書などでも被害が確認されました。

警察庁はこの事件が悪意のある第3者がどのような手口でサイバー攻撃を行ったのかという内容を発表しましたが、主な手口のポイントは、下記の3つです。

  • 携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施
  • 第3者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成
  • アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施

 いずれも、Webセキュリティの脆弱性を衝いたサイバー攻撃でした。

ニューノーマルな働き方を狙った事例(RDP総当たり攻撃)|2020~2021年

2020~2021年にかけて急増しているWebセキュリティ問題を衝いたサイバー攻撃が、テレワーク端末を狙った「RDP総当たり攻撃」です。テレワークの導入に取り組んでいる企業で、この攻撃を受けた事例が数多く報告されています。

 RDP(Remote Desktop Protocol)とは、導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供するマイクロソフトのサービスのことです。RDPを導入した端末をリモートデスクトップ接続するために利用する「ID/パスワード」に対して、不正アクセスを試みるために総当たり攻撃をしてくる手法を「RDP総当たり攻撃」と呼びます。近年、コロナ禍の影響で、企業によるテレワーク導入が急加速しました。そして、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が急増したことが、Webセキュリティ問題の増加に繋がったと考えられています。

 

さいごに

今回は、2021年度のサイバー攻撃の動向や事件・事故などについて、詳しく解説してきました。また、各事例に対するWebセキュリティ問題についても考察してきました。

Webセキュリティ対策の精度は年々進化していますが、それ以上にサイバー攻撃の手口は巧妙化しています。そのため、2021年上半期以上に、下半期はテレワークなどのニューノーマルな働き方を狙った攻撃、OSやアプリのWebセキュリティの脆弱性を狙った攻撃は激化すると予測されます。また、総務省発布の「平成30年度情報通信白書」によると、政府が積極的にセキュリティ問題に取り組んでいることが明確化されているため「サイバーセキュリティ基本法」の動向にも注目です。

そして何より、今後も引き続き、Webセキュリティ問題に警戒することが重要といえるでしょう。

ゼロデイ(Zero-day)攻撃

ゼロデイ攻撃とは?DDoS攻撃の標的となった際の3つの対処法を解説!

by ブログ

近年、中小企業が悪意のある第3者からサイバー攻撃を受ける事例が増加しています。悪意のある第3者からの攻撃にはさまざまな手口が存在しますが、ゼロデイ攻撃(Zero-day Attack)もその1つです。また、ゼロデイ攻撃だけでなく、DDoS攻撃の標的となる危険性もあるため早めのWebセキュリティ対策を心掛けておかなければなりません。

本記事では、ゼロデイ攻撃を受け、さらにDDoS攻撃の標的された場合のWebセキュリティ対策について解説しています。

 

ゼロデイ攻撃とは?DDoSの標的となる可能性も解説!

そもそも、 Webセキュリティ上の脆弱性を衝いたサイバー攻撃の一種であるゼロデイ攻撃(Zero-day Attack)とは、どのようなサイバー攻撃なのでしょうか。詳しくみていきましょう。

ゼロデイ攻撃とは?

悪意のある第3者から受けるサイバー攻撃といえば、導入しているOSやアプリケーションのWebセキュリティ上の脆弱性を狙った攻撃が一般的です。OSやアプリケーションの脆弱性が発見された場合、提供元はすぐにその脆弱性を改善した新バージョンのOSや修正プログラム・パッチを開発し対策を取ります。

しかし、脆弱性が発見されてからすぐに対策を取るのは非常に困難で、その脆弱性解消の対処・対策が確立されるまでには、どうしても期間が必要です。そして、脆弱性の発見から対策方法の確立までの期間のことを「ゼロデイ(Zero-day)」と呼び、その期間を狙って攻撃してくる手法を「ゼロデイ攻撃」と呼んでいます。

ゼロデイ攻撃は、対策ができていないWebセキュリティ上の脆弱性を狙ってくるため、取り得る防御手段が少なく大きな被害を受けるケースも少なくありません。

DDoS攻撃の標的となる可能性は?

ゼロデイ攻撃によって、顧客情報が盗み出されるなどの直接的な被害を受けるだけでなく、間接的な被害を受けてしまう可能性もあります。

間接的な被害とは、DDoS攻撃に利用するゾンビマシンの標的となることを意味します。そもそもDDoS攻撃とは、ターゲットとしている企業サイトやWebサーバに、複数のコンピューターから大量の情報を送り、サービスの遅延・停止を起こさせる攻撃方法を指します。また、ターゲット企業のサービスに影響を与える目的だけでなく、その攻撃を止める条件として金銭(身代金)を要求する目的でDDoS攻撃を仕掛けるケースもあります。

このDDoS攻撃には複数のコンピューターが使用されますが、そのほとんどが悪意のある第3者がこの攻撃のために別のサイバー攻撃で乗っ取った「ゾンビマシン」が使用されています。

ゾンビマシンとは、サイバー攻撃によって侵入したウィルスやプログラムの改ざんによって、悪意のある第3者が遠隔操作できるようにされたコンピューターのことで、このゾンビマシン化されたコンピューターは、Webセキュリティの脆弱性のあるOSやアプリケーションを使っているケースも珍しくありません。そのため、Webセキュリティ対策が未熟なゼロデイを狙って、DDoS攻撃を仕掛けてくる場合があります。

もし、ゾンビマシン化されたコンピューターでDDoS攻撃を仕掛けたターゲット企業が取引先だった場合、それによって取引が中止したり損害賠償を求められる可能性もあります。

 

ゼロデイ攻撃の事例

ゼロデイ攻撃によってコンピューターがゾンビマシン化され、DDoS攻撃に使用された可能性のある事例についてみていきましょう。

2014年11月4日、トレンドマイクロが、同社公式ブログでWebセキュリティの脆弱性「Shellshock」を利用した新たな攻撃を確認したことを発表しています。その発表は、Linuxなどで使用されているオープンソースプログラム「Bourne-again shell(Bash)」コマンドシェルに重大な脆弱性が見つかったことが発端で、その対策完了までに、DDoS攻撃などのさまざまなサイバー攻撃が確認されました。例えば、Webセキュリティの脆弱性「Shellshock」を利用してSMTP(Simple Mail Transfer Protocol)サーバを狙う、ゼロデイ攻撃もその1つです。このケースで被害を受けたコンピューターは、DDoS攻撃の目的で遠隔操作が可能となることもその発表に含まれていました。そのため、サイバー攻撃が確認された地域で、ゾンビマシン化目的でのゼロデイ攻撃を受けたコンピューターが被害に遭った可能性が高いといわれています。実際、日本国内でもゼロデイ攻撃を受けて、遠隔操作されたコンピューターが複数確認されています。

 

おすすめ!ゼロデイ攻撃でDDoS攻撃の標的となった場合の対策法3選

ゼロデイ攻撃で、Webセキュリティ対策が完了する前にDDoS攻撃が行われれば、取り得る防御手段の選択肢が少ないのが現状です。しかし、まったく対策法が存在しないということではありません。ここでは、ゼロデイ攻撃でDDoSの標的となった場合の3つの対策法を紹介しています。

  • クラウド型WAF
  • Cloudbric ADDoS
  • EDR

クラウド型WAF|導入しやすく低コスト

WAF(Web Application Firewall)とは、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守れないWebアプリケーションの脆弱性を攻撃から守ることができるセキュリティ対策です。このWAFには、クラウド型・ハードウェア組み込み型・サーバインストール型の3種類が存在しますが、ゼロデイ攻撃対策として導入するならクラウド型WAFをお勧めします。また、ゼロデイ攻撃対策は、発覚してからすぐに施策する必要があります。

ちなみに、クラウド型WAFは機器の購入・ネットワークの構築などが必要なく、すぐに導入可能でセキュリティ担当者の負担を減らせます。また、初期費用・運用コストが低く、スポット利用もできるため、脆弱性のWebセキュリティ対策が完了するまでのゼロデイ攻撃の対策におすすめです。

 

Cloudbric ADDoS|DDoS攻撃対策

DDoS攻撃によるゼロデイ攻撃から被害を最小限に抑えるためには、Webセキュリティ上素早い対応が求められます。そのため、DDoS攻撃が防御できるサービスも、同時に導入しておいた方がよいでしょう。そんなDDoS攻撃対策におすすめのサービスといえば「Cloudbric ADDoS」です。導入しておけば、最大65Tbpsの大規模DDoS攻撃まで迅速かつ安全に遮断してくれます。

「Cloudbric ADDoS」についての詳細は、こちらの記事を参考にしてください。

https://www.cloudbric.jp/blog/2021/06/rddos/

 

EDR|ゾンビマシン化をいち早く検知

DDoS攻撃に利用するゾンビマシンの標的となることを、防止できるWebセキュリティ対策も重要なポイントです。

EDRを導入しておけば、ゼロデイ攻撃によってゾンビマシン化している際に、いち早く検知可能であるため、気づかないうちにコンビューターがDDoS攻撃に利用されたり、攻撃の踏み台にされるのを防げます。EDR(Endpoint Detection and Response)とは、パソコンやサーバの状況および通信内容などを監視し、異常あるいは不審な挙動があれば管理者に通知してくれるソリューションです。ゼロデイ攻撃による直接的な被害は防げませんが、導入しておけば、取引先へのDDoS攻撃に利用されて間接的な被害を防止できるためおすすめです。

 

今回は、ゼロデイ攻撃で、DDoSの標的となった場合のWebセキュリティ対策について解説してきました。ゼロデイ攻撃は気づいたときには手遅れになっているケースも少なくありません。そのため、いち早く気づき、早急にWebセキュリティ対策することが重要です。

現代では、悪意のある第3者によるゼロ攻撃やDDoS攻撃は増加傾向にあるため、いつサイバー被害を受けるか予測できません。本記事を参考に、いち早くWebセキュリティ対策に取り組みましょう。

DDoS攻撃対策

実際に国内で発生したDDoS攻撃の被害と対策を紹介

by ブログ

Webサイトなどネットワークを利用したサービスの脅威となるのがDDoS攻撃です。DDoS攻撃を受けるとWebサイトなどのサービスが一時的に停止してしまい、サービスを利用しているユーザーの信頼を失うだけでなく企業イメージにも悪い影響を与えることもあります。

今回は日本国内で発生したDDoS攻撃の事例や対策方法について紹介していきます。

 

DDoS攻撃とは

DDoS攻撃の説明をする前にまずDoS攻撃について説明していきます。DoS(Denial of Services)攻撃とは1台のパソコンから行うサイバー攻撃で、パソコンからインターネットサービスに対して大量のデータを送ることで、サーバーに負荷がかかりシステムがダウンしてしまいます。DoS攻撃は複数の種類があります。F5攻撃という方法はWebサイトでF5を連続で実行してサイトに大量のリクエストを送りサーバーに負荷をかけます。メールを大量に送信してサーバーに負荷をかける手法もあります。

DDoS(Distributed Denial of Service)攻撃とはDoS攻撃を複数のパソコンから行うサイバー攻撃です。ウィルスやマルウェアなどで他人のパソコンを不正に乗っ取り、そのパソコンを利用してDDoS攻撃を行う場合もあります。厄介なのは不正に乗っ取ったパソコンを利用していると犯人を特定しにくくなります。

近年普及しているIoTがDDoS攻撃の被害を受けるケースもあります。

 

DDoS攻撃の種類とは

ここからはDDoS攻撃の種類を説明します。

1. SYNフラッド攻撃 / FINフラッド攻撃

SYNフラッド攻撃とは接続元IPを偽ったボットからSYN(接続要求)を大量に送る攻撃です。そしてFINフラッド攻撃とは接続元IPを偽ったボットからFIN(絶段要求)を大量に送る攻撃です。

2. ACKフラッド攻撃

ACKフラッド攻撃とは大量のACKパケットを送信してサーバーに負荷をかける攻撃です。

3. Slow HTTP DoS Attack

Slow HTTP DoS Attackとは少ないパケット数を長時間送信して他のユーザーがサービスを使えないようにする攻撃です。大規模サイトを少ないリソースで攻撃できます。

4. DNSフラッド攻撃

DNSフラッド攻撃とはDNSサーバーに対して大量のリクエストを送信して、他のユーザーからの名前解決を妨害する攻撃です。

 

国内でのDDoS攻撃の事例

ここからは日本国内で発生したDDoSの事例について紹介します。

東京五輪組織委へのサイバー攻撃

2015年11月パラリンピック大会組織委員会のホームページにDDoS攻撃がありホームページが約12時間閲覧不能になりました。

SONYへのサイバー攻撃

2014年8月SONYが運営するPlayStation NetworkにDDoS攻撃があり、これにより1億人以上の個人情報が流出した可能性があります。

ニコニコ動画へのサイバー攻撃

2007年ニコニコ動画がDDoS攻撃を受けて正常にサービスを提供できなくなり、一時的にサービスを停止しました。ニコニコ動画と同一ネットワーク上にあるドワンゴの携帯電話向けサイトにも影響が出ました。

2ちゃんねるへのサイバー攻撃

2010年に10万人規模のDDoS攻撃を受けてサーバーがダウンしました。

 

DDoSへの対策

ここからはDDoS攻撃への対策について紹介します。

特定のIPアドレスからのアクセスを遮断する

DDoS攻撃を仕掛けているIPアドレスからのアクセスを遮断します。アクセス自体を遮断することで攻撃を受けないようになります。DDoS攻撃は複数のIPから攻撃を受けるので問題の解消にはならないですが、継続することで被害を少なくできます。

 

海外からのアクセスを停止する

正規のユーザーが国内アクセスしていて、DDoSの攻撃元が海外の場合は海外からのアクセスを停止することでDDoS攻撃を防ぐことができます。DDoS攻撃は海外のサーバーを経由して実行されることがあるので、効果的な対策でしょう。

 

WAFを導入する

WAF(Web Application Firewall)とはWeb上のアプリケーションに特化したファイアウォールです。Webサイトの中でもユーザーが情報を入力するサイトやリクエストに応じて動的なページを生成するサイトを守ります。WAFはWebサービスへのアクセスを解析して正規のユーザーか不正な攻撃かを判断します。不正な攻撃と判断するとアクセスを遮断してWebサイトを守ります。

WAFはDDoS攻撃だけでなくSQLインジェクション・ブルートフォースアタック・クロスサイトスクリプティング・OSコマンドインジェクション・LDAPインジェクションなどさまざまなWeb攻撃からWebサイトを守ってくれます。

WAFにはアプライアンス型・ソフトウェア型・クラウド型の3つがあります。

アプライアンス型は独自のWAFシステムを構築可能でサーバー自体の性能に影響されません。デメリットとしては利用するために専門的な知識や技術が必要という点です。

ソフトウェア型はカスタマイズ性が高くて専用機器が必要ありません。デメリットとしては複数のサーバーを運用している場合は、サーバーごとにコストがかかるという点です。

クラウド型は他のタイプよりも簡単に導入できて専門的な知識や技術が必要ありません。デメリットとしてはカスタマイズ性が低いという点です。

▼WAFはもちろん、DDoS攻撃対策や脅威IP遮断など、5つの機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

 

IDS/IPSを導入する

IDS(Intrusion Detection System)とは不正侵入検知システムと呼ばれています。Webサイトへのアクセスを解析してDDoS攻撃など不正なログインと判断すると管理者に通知します。IDSには2つのタイプがありネットワーク型はネットに流れる通信パケットを検知します。ホスト型はサーバーに設置して通信で発生したサーバー上のデータやログを検知します。

IPS(Intrusion Prevention System)とは不正侵入防止システムと呼ばれています。Webサイトへのアクセスを解析して、不正なアクセスや攻撃を検知するとそのアクセスを遮断します。

IDS/IPSは主にネットワークやシステム面へのセキュリティ性能が高いです。DDoS攻撃に対する防衛は可能ですがSQLインジェクションやクロスサイトスクリプティングなどは防ぐことができないので注意しましょう。

 

UTMを導入する

UTM(Unified Threat Management)とは統合脅威管理と呼ばれています。ウィルス・スパム・キーロガー・スパイウェアなど、さまざまな攻撃に対応できるセキュリティシステムです。Webサービスへの攻撃方法は年々多様化しているので、総合的にWebサイトを守りたいならばおすすめです。

 

▼クラウド型WAFサービス「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

中堅・中小企業のWebセキュリティ対策

中堅・中小企業のWebセキュリティ対策は何から取り組むべき?

by ブログ

インターネットの普及を背景に、悪意のある第3者からのサイバー攻撃に備えて、Webセキュリティ対策をしておく必要があります。もちろん、大企業だけでなく、中堅・中小企業も同様に、Webセキュリティ対策は意識しておかなければなりません。そもそも、悪意のある第3者からの攻撃を受けているのは大企業だけではなく、近年は中堅・中小企業が被害に遭う割合が増加傾向にあります。しかし、そんな中堅・中小企業のWebセキュリティ対策の方法が分からないこともあるでしょう。

本記事では、中堅・中小企業のWebセキュリティ対策で取り組むべきことについて解説しています。

 

Webセキュリティ対策を立てていく中堅・中小企業の特徴とは?

年々、増加傾向にある悪意のある第3者からのサイバー攻撃。そのなかで、特にターゲットとされる事案が増加しているのが中堅・中小企業です。

中堅・中小企業がターゲットとされる理由は?

悪意のある第3者が中堅・中小企業を攻撃のターゲットにする理由は、大企業と比べてWebセキュリティ対策をきちんとしていないところが多いためです。そもそも、中堅・中小企業が大企業と比べてWebセキュリティ対策が不十分な理由は、「まさか自社がターゲットにされることはない」という意識の低さもありますが、経営状況も大きく影響するようです。Webセキュリティ対策には、膨大な費用もかかりますし、基本的には担当者を設けなければ上手く運用できません。

悪意のある第3者が中堅・中小企業をターゲットとする目的は?

悪意のある第3者が中堅・中小企業をターゲットとする目的は、大企業と比べて対策が疎かになっていることは前述しましたが、実はそれだけではありません。他にも、「本命のターゲットの足がかり」とする目的で狙われることがあります。そもそも、本命とする企業が強固なWebセキュリティ対策をしている場合、直接攻撃することは困難です。そのため、本名のターゲットと直接取引のある中堅・中小企業を足がかりとして狙うケースも珍しくありません。このようなた場合、足しかがりとするために狙われた中堅・中小企業は、サイバー攻撃による直接的な被害に加えて、情報を流出させてしまったことで取引先の大企業から損害賠償を求められるなど、間接的な被害も受けてしまうことも考えられます。

 

中堅・中小企業におけるWebセキュリティの脆弱性とは?

中堅・中小企業で、悪意のある第3者による攻撃を受ける可能性がもっとも高いツールが企業ホームページやキャンペーンページ等のWebサイトです。そして、そのWebセキュリティの脆弱性を衝いた攻撃の手口としては、主に以下の手法が存在します。

  • SQLインジェクション
  • クロスサイトスクリプティング
  • DoS攻撃
  • ランサムウェア

中堅・中小企業のサイトで「お問い合わせフォーム」を設けており、Webセキュリティ対策が不十分な場合は、SQLインジェクションやクロスサイトスクリプティングで攻撃される可能性があります。SQLインジェクションとは、お問い合わせフォームにデータベースの管理や操作を行うための言語である「SQL」を混在させた文章を送り、データベースが不正に操作されて情報を奪う手法をいいます。

SQLインジェクションについての詳細を知りたい方は、こちらの記事をご覧ください。

SQL Injectionとは?脆弱性に対する3つの対策について解説!

また、クロスサイトスクリプティングは、お問い合わせフォームに不正なJavaScriptが埋め込まれたことで、Webサイトが不正改ざんされる手口です。ちなみに、お問い合わせフォームを設けていなくてもこれらのサイバー攻撃を受けることがあるため、中堅・中小企業にとって安心はできません。

例えば、DoS攻撃の被害を受ける危険性があります。DoS攻撃とは、Webサイトに短期間で数万回もアクセスすることにより、ページの表示を極端に遅くしたりサーバをダウンさせたりする手口のことをいいます。そして、これらの攻撃を受けた後、ウィルス(ランサムウェア型)によってパソコンなどが操作不能状態にされた後、悪意のある第3者が解除を条件にお金(身代金)を要求してくるランサムDDos攻撃をしてくる危険性もあります。

ランサムDDos攻撃についての詳細を知りたい方は、こちらの記事をご覧ください。

ランサムDDos攻撃とは?最適な対応策について解説!

 

 中堅・中小企業がサイトを運営する際に必要なWebセキュリティ対策とは?

中堅・中小企業にとって、悪意のある第3者が攻撃してくるツールとして、ホームページがターゲットとなりやすいことは前述しました。このような背景から、Webサイトを運営する中堅・中小企業は、しっかりとしたWebセキュリティ対策をしておく必要があります。しかし、その必要性が高いことは分かっても、具体的なWebセキュリティ対策について分からないこともあるでしょう。ここでは、Webセキュリティ対策の始め方や具体的な施策方法について解説しています。

Webセキュリティ対策は何から取り組むべき?

中堅・中小企業がWebセキュリティ対策に取り組むためには、何を守りたいのか明確にしましょう。大企業と違って、中堅・中小企業はWebセキュリティ対策に費やせる費用や人員が限られています。そのため、すべてのWebセキュリティ対策を施策することができない場合もあります。

次に、自社のWebセキュリティの現状を把握しましょう。自社の情報システムの現状はどうなっているのか、そして現在、どこまで対策できているのかを把握しなければなりません。そこを理解すると、中堅・中小企業において、守るべき対象を脅威から守るための施策方法を見出せます。そして、自社のWebセキュリティ対策の状況を把握するのに便利なツールが、独立行政法人情報処理推進機構(IPA)が提供している「5分でできる!情報セキュリティ自社診断シート」。これは、簡単な問いに回答していくだけで、自社のWebセキュリティ対策の現状や問題点などを見つけてくれるツールです。

今すぐWebセキュリティ環境を診断する

Webセキュリティ対策の具体的な施策方法とは?

中堅・中小企業向けの対策として、まず紹介するのが「セキュリティプラットフォーム」の導入です。セキュリティプラットフォームとは、1つシステムで攻撃からの脅威に対抗する各種機能を一元管理できるプラットフォームのこと。導入すると、下記の内容が1つの管理画面で統合管理できるためおすすめです。

  • ファイル操作制御
  • アプリケーション制御
  • ハードディスク/ストレージ制御
  • ネットワーク制御
  • 盗難紛失対策
  • セキュリティ対策(アンチウイルスやファイアウォール)
  • 標的型攻撃対策
  • ランサムウェア対策

また「常時SSLの導入」も、中堅・中小企業向けのセキュリティ対策の1つ。さらに、中堅・中小企業は、Webサイトにかかる費用を少しでも安くするため、「お問い合わせフォーム」などの一部のページのみを共有SSLにしていることが多いです。ちなみに、会社独自のドメインに対してSSLを導入し、全ページを暗号化して保護する常時SSLを導入すれば、サイトの全ページが悪意のある第3者からの攻撃から守ることができます。しかし、これらの導入には、当然費用がかかります。

とはいえ、コロナ禍において中堅・中小企業が、前述したような内容で費用をかけることは抵抗があることでしょう。そこで、「サイバーセキュリティ対策助成金」を活用する方法があります。例えば、東京都と東京都中小企業振興公社が、都内にある中堅・中小企業を対象に、企業がWebセキュリティ対策を実施するために必要な設備等の導入経費の一部を助成してくれます。こうしたWebセキュリティ対策に対する助成を行っている県・市町村は数多く存在するため、探してみてはいかがでしょうか。

サイバーセキュリティ対策促進助成金について、詳細を知りたい方はこちらをご覧ください。

 

あとがき

今回は、中堅・中小企業のWebセキュリティ対策は何から取り組むべきなのか?というテーマで解説してきました。現代社会において、中堅・中小企業でもWebセキュリティ対策は重要です。Webセキュリティ対策が不十分だったことで、悪意のある第3者からの攻撃により直接的な被害を被る危険性があります。また、間接的な被害を受けたことで信用を失い、金銭的にも大損失に繋がる可能性があるため注意しなければなりません。

Webセキュリティ対策には、莫大な費用がかかることはありますが、損失のことを考えれば、早急に施策しておくべきでしょう。本記事が、何からWebセキュリティ対策に取り組めばよいのか分からない、中堅・中小企業の担当者様の参考になれば幸いです。

 

ちなみに、当社で提供するCloudbric WAF+は、Webサイトを守るための5つの対策を、統合したプラットフォームにて提供しております。
コストパフォーマンスと高度なセキュリティを両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+

 

 

 

クラウドサーバ-IaaS

IaaSとは?おすすめのクラウド・サーバ・プロバイダーを比較解説!

by ブログ

情報システムの稼動に必要なコンピュータや通信回線などのインフラを、インターネットを使って遠隔から利用できるクラウドサービスといえば「IaaS(Infrastructure-as-a-Service)」です。IaaSサービスは、必要なコンピューティングやストレージ、ネットワークなどのリソースを必要なときに利用できるため、企業でも導入を検討するケースがみられます。しかし、IaaSは他のクラウドサービスよりも自由度が高い分、IaaSサービスを提供するクラウド・サーバ・プロバイダー選びに迷っている企業もあることでしょう。

本記事では、おすすめのクラウド・サーバ・プロバイダーを比較解説しています。ぜひ、クラウド・サーバ・プロバイダーを選ぶ際の参考にしてください。

 

おすすめのクラウド・サーバ・プロバイダーの一覧!

おすすめのクラウド・サーバ・プロバイダー5社を、インターネット情報や口コミなどから、下記4つのポイントで比較しました。

  • コストパフォーマンス
  • ユーザーインターフェース
  • ネットワーク
  • セキュリティ

また、下表は各IaaSプロバイダーのおすすめ度を「☆~☆☆☆」で比較しながら評価しています。

名称 コストパフォーマンス ユーザーインターフェース ネットワーク セキュリティ
Linodeクラウド・サーバサービス ☆☆ ☆☆ ☆☆☆ ☆☆☆
Google Compute Engine ☆☆☆ ☆☆ ☆☆☆
Vultr ☆☆☆ ☆☆☆ ☆☆ ☆☆☆
アマゾンAWS ☆☆☆ ☆☆ ☆☆☆
DigitalOcean ☆☆☆ ☆☆☆

セキュリティに関してはどのIaaSサービスもおすすめできますが、その他の前述したポイントではサービスによって特徴が異なります。そのため、どのような特徴を重視するか、よく検討して選びましょう。

 

IaaSプロバイダーがクラウド・サーバで稼働する仕組みとは?

ここでは、IaaSプロバイダーがクラウド・サーバで稼働する仕組みについて解説しています。まずは、IaaSプロバイダーについて、詳しくみていきましょう。

IaaSプロバイダーとは?

IaaSとは仮想化技術を利用してハードウェアリソース(CPU/メモリ/ストレージ)などのITインフラをインターネット経由でオンデマンドで提供するサービスの総称のことです。IaaSはクラウド上で稼働する仕組みを構築するという特性から、IaaSプロバイダーの活用は必須です。

クラウド・サーバで稼働するIaaSの仕組み!

インターネットを通じて、オンライン上に設置されたサーバのことを「クラウド・サーバ」と呼びます。通常のサーバはパソコン自体の容量で保存・保管できるデータの容量が左右されてしまいます。しかし、必要なときに必要なデータをインターネットを活用して管理できるクラウド・サーバなら、データの保存・保管の容量を気にせず利用できるでしょう。また、クラウド・サーバなら、保管してあるデータを他のデバイスで共有できたり、外出先でもデータの確認や編集・修正が可能です。

そんなクラウドサービスは、アルファベット1文字+aaSを組み合わせた用語で用途別に分類されています。なかでも、IaaSはクラウドサービスのなかの1つで、主にサービスとしてのインフラを担います。

 

比較!おすすめのクラウド・サーバ・プロバイダー5選

ここでは、おすすめのクラウド・サーバ・プロバイダーを厳選して紹介しています。今回比較するクラウド・サーバ・プロバイダーは、下記の5つです。

  • Linode
  • GoogleCompute Engine
  • Vultr
  • アマゾンAWS
  • DigitalOcean

Linode|クラウドインフラをよりシンプルに

Linodeは、世界最大の独立系オープンクラウドプロバイダーでのLinodeが提供するサービスです。料金がリーズナブルなことに加えて、料金体系は従量課金制です。必要なときに必要な分だけ利用して支払えばよいため、パフォーマンスの最適化ともにコスト削減を実現できます。さらに、日本では、Linodeの公式ソリューションパートナーであるクラウドブリックによる日本のお客様向け最適化されたプランと手厚いサポート体制を提供していることも大きなメリットとなります。

名称 Linodeクラウド・サーバ・サービス
料金
  • エコノミー(~5Mbps):28,000円
  • ビジネス(~50Mbps):110,000円
  • ハイパフォーマンス(~1Gbps): 180,000円
提供元 Linode
公式URL https://www.linode.com/ja/

GoogleCompute Engine|業務滞りなく進行できる

Google Compute Engine(GCE)は、Googleが提供するクラウドサービスです。ライブマイグレーションの提供により、コンピューターで作動している仮想マシンを、稼働中のソフトウェアを実行させたまま別のコンピューターに移動処理が可能。また、バックグラウンドで透過的にデータを移行できるため、作業環境をスムーズにしたい企業におすすめです。

名称 Google Compute Engine(GCE)
料金 使用状況によって変動
提供元 Google
公式URL https://cloud.google.com/compute?hl=ja

Vultr|ローカルで開発しグローバルに展開

先進的なクラウドプラットフォームを提供しているVultr。世界各地に17箇所のデータセンターを戦略的に配置し、すべてを秒単位で展開可能な標準化された高可用性かつ高性能なクラウドサービスをすべてのサービス対象に提供しています。

名称 Cloud Compute (クラウド コンピューティング)
料金
  • ~280円/月: (メモリ:512MB、CPU:1コア、SSD:20GB)
  • ~561円/月: (メモリ:1GB、CPU:1コア、SSD:25GB)
  • ~1,122円/月: (メモリ:2GB、CPU:1コア、SSD:40GB)
  • ~2,245円/月: (メモリ:4GB、CPU:2コア、SSD:60GB)
  • ~4,491円/月: (メモリ:8GB、CPU:4コア、SSD:100GB)
提供元 VULTR
公式URL https://www.vultr.com/

アマゾンAWS|効率的にビジネスに活用できる

アマゾンAWSは、Amazonが提供している、世界各国のデータセンターから175以上のフル機能のサービスを世界に展開しているクラウドコンピューティングシステムです。コストやセキュリティ、機能・パフォーマンスなどさまざまな面で優れているのが特徴。さまざまな企業や政府機関に導入されており、コストの削減、俊敏性の向上、イノベーションの加速を実現させています。使用した分の料金のみで利用できる従量制料金を採用している点もおすすめするポイントです。

名称 Amazon EC2(Amazon Elastic Compute Cloud)
料金 従量制料金
提供元 Amazon.com
公式URL https://aws.amazon.com/jp/

DigitalOcean|高スペックなクラウド・サーバ

海外最大手VPSのDigitalOcean。利用可能なメモリ量・CPUは上限が他に比べて高いため、高スペックなサーバが必要な企業におすすめです。海外にしかデータセンターがないことや、インターフェースが英語で日本語非対応といったところはマイナスポイント。しかし、仮想サーバを55秒で起動でき、料金はすべて時間単位の課金であるなど、魅力的なところもみられます。

名称 DigitalOcean
料金 従量制料金
提供元 DigitalOcean
公式URL https://www.digitalocean.com/

今回は、IaaSをテーマに、おすすめのクラウド・サーバ・プロバイダーを比較解説してきました。クラウド・サーバは企業のニーズに柔軟に答えてくれる利便性の高いサービスです。しかし、クラウド・サーバにはいくつか種類が存在し、IaaSにも取り扱い時の専門知識やスキルが要求されるというデメリットもあります。そのため、自社に合ったサービスを選ぶためには、クラウド・サーバに関する正しい知識を身につけなければなりません。それぞれのサービスの特徴を理解して、自社にマッチしたクラウド・サーバ・プロバイダーを選びましょう。

 

Linodeの詳細はこちら

https://www.cloudbric.jp/linode-vps/

ランサムDDoS

ランサムDDoS攻撃の脅威とは?最適な対応策について解説!

by ブログ

インターネットを活用したビジネスには、常にサイバー犯罪者から攻撃を受けるリスクが伴います。そして近年、サイバー犯罪者の手口として増加傾向がみられるランサム(身代金)型の犯罪。「ランサムDDoS攻撃」もそのようなランサム型の1つで、DDoS攻撃による脅迫は世界中で拡大しています。そのため、サイバー犯罪者からの攻撃の備えとして、ランサムDDoS攻撃の手口や対策方法は知っておかなければなりません。

本記事では、ランサムDDoS攻撃の脅威に関する内容や対策方法について解説しています。

 

ランサムDDoS攻撃の脅威とは?2つのポイントで知る!

そもそもDDoS攻撃やランサムDDoS攻撃(ランサム型のDDoS攻撃)とは、どういったサイバー攻撃なのでしょうか。ここでは、攻撃の特徴や手口について解説したいと思います。

DDoS攻撃の特徴

DDoS攻撃の「DDoS:Distributed Denial of Service」は、和訳すると「分散型サービス妨害」という意味です。そして、サイバー犯罪者による攻撃の1つに、Webサイトやサーバーに対し過剰にデータ送信したりアクセスしたりする手法が存在します。

なかでも、特定のネットワークやWebサービスを意図的に利用できないようにする手法のサイバー攻撃のことを「DoS攻撃(Denial of Service attack/サービス拒否攻撃)」と呼びます。そんなDoS攻撃の特徴は、サイバー犯罪者が1台のコンピューターから行ってくる攻撃。しかし、複数台のコンピューターを使用して同時にWebサイトやサーバーにDoS攻撃をしてくる手法も存在し、これをDDoS攻撃と呼びます。

DDoS攻撃の脅威

DDoS攻撃では、複数台のコンピューターから一斉にアクセスやデータ送信をしてくるため、送られてくるデータの情報量は膨大。そのため、Webサイトやサーバーに多大な負荷をかけられてしまい、ネットワーク遅延の発生やWebサイトにアクセスができないといったトラブルが発生してしまいます。

また、サイバー犯罪者が他人のコンピューターを乗っ取って攻撃に利用した手法もDDoS攻撃に由来。ちなみに、このサイバー犯罪者に乗っ取られて攻撃に悪用されたコンビューターのことを「踏み台」と呼びます。

しかし、実際には無関係の「踏み台」が攻撃に使われることから、DDoS攻撃はDoS攻撃と比べて、サイバー犯罪者の割り出しが難しいといわれています。

ランサムDDoS攻撃の手口

ランサムDDoS攻撃の「ランサム(Ransom)」は、和訳すると「身代金」で、つまり、ランサムDDoS攻撃とは、攻撃対象者のコンピューターやWebサイト・サーバーを人質に取り、サイバー犯罪者が身代金を要求する攻撃のことです。ランサム型攻撃でサイバー攻撃者が要求してくる身代金は、リアルマネー(現金)ではなく、仮想通貨での取引が多いことも特徴の1つです。

ランサム型攻撃といえばネットワークなどを通じて感染を広げるマルウェア(悪意を持ったソフトウェア)である「ランサムウェア」をご存じの方もいることでしょう。以前は、コンピューターに感染させ、保存されているファイルの暗号化や機密情報の公開などで脅し、身代金を要求する「ランサムウェア攻撃」が一般的な手口でした。しかし近年は、DDoS攻撃やDoS攻撃によるランサム型攻撃が増加しています。

その手口としては、サイバー犯罪者がDDoS攻撃で特定のネットワークやWebサービスを意図的に利用できないようにした後、攻撃対象者に身代金を要求することが一般的です。そして、その支払いに応じないと、攻撃を継続すると脅すことです。

 

ランサムDDoS攻撃の事例

2017年からその存在が警戒されているランサムDDoS攻撃ですが、それ以前にもDDoS攻撃の事例がいくつか存在しています。例えば、2012年11月にイスラエル政府関連のWebサイトやイスラエルの銀行など、約600のサイトがダウンするトラブルが発生した事例があります。これは、イスラエル軍によるパレスチナ自治区であるガザ地区への空爆に対する抗議のために、国際的ハッカー集団「アノニマス」が行ったDDoS攻撃だということが判明しています。

 また、日本でも企業がDDoS攻撃を受ける件数が増えており、2018年には株式会社スクウェア・エニックスの人気オンラインゲームが、DDoS攻撃によってゲーム通信が切断されたり、ログインができなかったりする被害を受けています。 

 

ランサムDDoS攻撃から守る3つの対策方法を紹介!

実際にランサムDDoS攻撃を受けた際の対応やランサムDDoS攻撃からWebサイトやサーバーを守るための対策には、どのような方法があるのでしょうか。ランサムDDoS攻撃から守る3つの対策方法には、下記の3つが挙げられます。

  • 身代金を払わないこと
  • WAFの導入
  • Cloudbric ADDoSの導入

対策① 身代金を払わないこと

ランサムDDoS攻撃だけでなく、すべてのランサム型攻撃で身代金を要求されても絶対に支払ってはいけません。そもそも、支払っても攻撃が止まる保証はありません。支払っても攻撃が継続され、さらに金額を上げて身代金が要求される可能性があります。

また、運よく攻撃が止まっても、身代金を支払った企業という情報が犯罪者間で共有され、別のサイバー犯罪者から攻撃されるかもしれません。支払った身代金がサイバー犯罪者の利益となり、それを使って別の企業などへのランサムDDoS攻撃に繋がってしまう可能性もあります。

そのため、身代金の支払いに応じることは前提として覚えておきましょう。

対策② WAFの導入

ランサムDDoS攻撃の対策として有効な手法が、「WAF」の導入です。WAFとは「Web Application Firewall」の略で、簡単に説明すると外部ネットワークからの不正アクセスを防ぎ、Webアプリケーションの脆弱性を悪用した攻撃からアプリケーションを守る保護するセキュリティ対策です。WAFの中でもハードウェア型WAF、ソフトウェア型WAF、クラウド型WAFがありますが、近年となっては、DNS情報変更だけで簡単導入できるクラウド型WAFが主流となっています。

WAFを導入することで、下記の対策ができます。

  • 脆弱性を悪用した攻撃からWebアプリケーションを防御
  • 複数のWebアプリケーションへの攻撃をまとめて防御
  • 脆弱性を悪用した攻撃の検出

WAFを導入しておけば、サイバー犯罪者がDDoS攻撃のためにアクセスを繰り返してきた場合に、それを不正アクセスだと検知して遮断してくれます。

Cloudbric WAF+を導入すると、ネットワークレベルのL3/L4 DDoS攻撃とアプリケーションレベルのL7 DDoSに対応できます。大規模DDoS攻撃への備えとしてはCloudbric ADDoSがお薦めです。全世界50以上のエッジロケーションを活用して、65テラバイト(Tbps)規模の攻撃まで防御できます。これからDDoS対策を導入しようとする企業は、WAFなどを検討してみてください。

 

最後に

今回は、ランサムDDoS攻撃の特徴や仕組み、その対策方法について解説してきました。年々多様化しているサイバー攻撃。すべてのサイバー攻撃への対策をするのは難しいといわれていますが、ランサムDDoS攻撃のようなサイバー攻撃への対策はやっておくべきです。

特に、ランサムDDoS攻撃の対策として特におすすめの方法は、今回紹介した「Cloudbric ADDoS」の導入です。「Cloudbric ADDoS」なら、リーズナブルな料金で高度のWebセキュリティ対策を利用できることができます。

 

「Cloudbric ADDoS」の料金、サポート内容を詳しく知りたいという方は、こちらをご覧ください。

Cloudbric ADDoS

cloud-2812970_1280

3大クラウドAWS・Azure・GCPの特徴や違いについて比較

by ブログ

需要が高まっているクラウドサービスにはさまざまな種類があり、どのサービスを導入すべきか迷っている方も多いのではないでしょうか。本稿では、大手3大クラウドのAWS、Azure、GCPそれぞれの概要や特徴を解説しつつ、Linodeとの比較も行っています。クラウドサーバ選びの参考にしてみてください。

 

クラウドサービスとは

クラウドサービスとはクラウド上に作られたサーバで、インターネットを通じてITリソースを利用する仕組みです。物理的なサーバ購入し運用する場合に比べ、初期費用が無料であることが多く管理やメンテナンスの必要がありません。インタネットに接続できる環境であれば、いつでもどこからでもサーバにアクセスでき、データの共有も離れた場所から行えます。月額費用が固定ではなく従量課金制を採用しているところが多く、必要なときに使った分だけ利用ができるのが特徴です。代表的な大手クラウドサービスにはAWS(Amazon Web Service)、Azure(Microsoft Azure)、GCP(Google Cloud Platform)などがあります。

 

AWS(Amazon Web Service)

AWSはAmazon.com社が提供しているクラウドサービスです。2006年7月からと、早くからサービスの提供を開始しました。世界中で数百万人以上とクラウドサービスの中では最も多く利用されており、日本でもユーザは10万人を超えています。クラウドサービスを選択する際の基準となり、初めに検討する場合も多いでしょう。

特徴
歴史が長いため実績が多く、ユーザや利用事例が豊富で情報も出回っています。分からない点やこういうことはできないか、などは比較的簡単に情報を見つけることが可能です。また管理画面などを数クリック、数分で環境の構築ができ、ビジネス機会を逃さないタイムリーなシステム構築ができます。IaaSには豊富な種類があり、制限が少ないのも特徴です。インターフェースをデータセンターで統一しているため、海外展開の視察や契約の手間を省けます。セキュリティ・コンプライアンスの統制を実施しており、安全性が高く第三者監査による検証も行われています。インターフェースとAPIで多くの標準技術を持っており、ベースにアプリケーション開発が可能です。導入の初期費用は無料、従量課金制のため必要な分だけリソースを使うことができます。過去10年間で何度も値下げを実施し、コストダウンを図っています。

難易度
AWSは個人でも契約が可能で、クラウドを上手に活用できるよう支援の提供を行っています。書籍やセミナーなども豊富で、専門的な知識があまりない方でも始めやすいといえるでしょう。

 

Azure(Microsoft Azure)

AzureはWindowsを手掛けるMicrosoft社が提供するクラウドサービスです。Microsoft社製品との相性が良く、Windowsを使用している企業にとって使いやすいといえます。2010年にサービスを開始して以来、機能の追加やアップデートを行い200以上の機能を実装しています。

特徴
最大の特徴は、Windowsに対する親和性の高さです。Windows Serverを利用していた企業にとって、クラウドに移行しても容易に利用できるため、導入や移行をスムーズに行えます。Office365やActive Directoryのような、ツールとの連携もしやすいです。また好きなフレームワークやツールを使用し、アプリケーションをの構築、管理ができます。クラウド・エッジ・オンプレミス全てに対応し、ビルドの方法やデプロイ先を選びません。AWSと同じく初期費用は無料、従量課金制で費用は使用した分だけです。

難易度
利用者向けに支援の提供を行っていますが、AWSよりもユーザ数は少なく情報が豊富とはいえません。そのためある程度の専門的な知識を備えた経験者向けといえるでしょう。

 

GCP(Google Cloud Platform)

GCPはGoogleが提供するクラウドサービスです。GmailやYouTubeなど、確かな運用実績があります。Google社内で使用されている技術やインフラを利用でき、データ解析や機械学習系のサービスを用いて開発を行うことが可能です。

特徴
検索エンジンを運用するGoogleは、ビッグデータの解析が強く、高速処理の技術があるのが特徴です。GCPデータ解析の技術を利用できるため、データ分析を簡単に行えるインフラが備わっています。またGoogle Cloudサービスには豊富なサービスが掲載され、現在でも増加し続けています。急激なアクセス集中による高負荷にも耐えられるよう設計されており、すぐにトラフィックに対応可能です。

難易度
Googleのサービス利用経験がない方は少なく、同社サービスに慣れ親しんだ点では優位性があります。またトレーニングしやすい環境も整っており、初心者でも使いやすいといえるでしょう。

 

Linodeと3大クラウドを比較

機能 Linode AWS Azure  GCP
クラウドファイアウォール(無料)
DDoS対策(無料)
ベアメタルクラウドサーバー
マネージドKubernetes
ローカルSSD
ハイメモリVM
アプリマーケットプレイス
ヒューマンサポート(無料) X X X
ドキュメントライブラリ(100%以上)
シンプルなAPI・CLI・クラウドインターフェース X X X
フラットな価格設定(予測可能) X X X
無料バンドル転送 X X X
すべてのデータセンターで同価格 X X X
提供年数 18年 14年 11年 13年
データセンター地域 11 24 60 24
クラウド製品数 ~20 ~200 ~200 ~200
対象顧客
  • 開発者
  • スタートアップ
  • 中小企業
 大企業 大企業 大企業

(出典:https://www.linode.com/ja/compare/

Linodeの提供開始はAWSよりも早く2003年からで、18年の長い歴史を持っています。データセンターの数は3大クラウドよりも少ないですが、対象となる顧客が開発者・スタートアップ・中小企業のため、大企業向けのデータセンター数より劣るのは普通でしょう。また価格設定もわかりやすく、必要な分だけ支払うことが可能です。スケールアップ、スケールダウンともに違約金も発生しません。料金が低いことでセキュリティ面の不安点が出ることもなく、信頼性・セキュリティ面ともに犠牲にせずに他社よりも低い価格設定を行っています。特定リージョンに対しての追加課金もなく、すべてのデータセンターで同一料金です。

 

クラウドサーバの導入はLinodeにお任せを

本稿では、3大クラウドの概要や特徴を解説しつつ、Linodeとの比較を行いました。Linodeは開発者・スタートアップ・中小企業を対象とした、クラウドサービスです。見やすく操作しやすいインターフェースを用いており、クラウドのコンピューティング、ストレージ、ネットワーキングをほんの数秒で導入できます。CPU専用で2vCPU・4GB RAM・80GB SSDの場合、Linodeでは月30ドルと他社サービスより40ドル以上も低い価格で利用が可能です。Linodeはアメリカに本社がありグローバル事業の展開をしています。クラウド型セキュリティサービスを日本で展開するクラウドブリック株式会社がLinodeの日本公式パートナーであり、24時間365日のサポートもあるため、わからない点はすぐに聞いて解決できるでしょう。今ならLinodeへの新規登録で、100ドルのプレゼントを行っています。開発者やスタートアップ・中小企業でクラウドサーバの導入を検討している方は、Linodeをぜひチェックしてみてください。

https://www.cloudbric.jp/linode-vps/

不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

by ブログ

不動産情報サイト事業者連絡協議会(RSA)が発表した「2020不動産情報サイト利用者意識アンケート」調査結果によると、不動産情報を調べる際に利用したものでは、スマートフォンの利用率が92%で2014年以来最高となっています。PC利用率も昨年より増加し約50%と増加傾向にあることから、不動産・賃貸情報サイトを運営する企業において、WAFのようなWebセキュリティ対策がますます重要となっています。しかし、不動産や賃貸物件の防犯対策はしっかりしていても、自社のWebサイトのセキュリティ対策をしていないケースも少なくありません。

Webサイトは、現代ビジネスにおいて必須のツールとして積極的に活用されていますが、現在多くのWebサイトがサイバー攻撃のターゲットとなっています。そんなサイバー攻撃から自社の不動産・賃貸情報サイトを守るためにも、WebサーバやWebサイトを保護してくれるWAFを導入するなど、Webセキュリティ対策は重要です。本記事では、動産・賃貸情報サイトでのWebセキュリティ対策をテーマに解説しています。ぜひ、最後までご覧ください

 

不動産・賃貸情報サイトの特徴とは?Webセキュリティ対策の重要性について考える

ここでは、不動産・賃貸情報サイトでのWebセキュリティ対策の重要性について解説しています。まずは、不動産・賃貸情報サイトの特徴から、詳しくみていきましょう。

不動産・賃貸情報サイトの特徴

近年、サイバー攻撃のターゲットとなるのは、大企業のWebサイトだけに留まりません。また、セキュリティ対策が不十分なWebサイトはターゲットにされやすく、不動産・賃貸情報サイトが標的となるケースも数多く報告されています。不動産関連の会社の営業は、不動産や賃貸物件を見つけたユーザからお問い合わせを頂くことから始まります。そのきっかけに、Webサイトを活用している企業もあることでしょう。不動産・賃貸情報サイトを利用するメリットには、「物件を探す人の利用率が高い」「物件情報を簡単に紹介できる」などが挙げられますが、実はサイバー攻撃から狙われやすい特徴もみられます。不動産・賃貸情報サイトは、下記のような特徴から金銭目的のサイバー攻撃を受ける可能性があります。

  • 入力フォームで個人情報を入力する
  • 高額な物件を取り扱っている
  • 不特定多数の方がWebサイトに訪問する
  • 個人たけでなく法人との取引がある

もし、不動産・賃貸情報サイトがサイバー攻撃を受けセキュリティ対策が不十分であった場合、顧客情報や取引相手の情報が漏洩してしまう危険性があるため注意しましょう。

Webセキュリティ対策の重要性

Webサイトへのサイバー攻撃は以前からありましたが、最近はシステムやアプリケーション脆弱性など、Webセキュリティの弱点を狙った攻撃が増えています。IPA(情報処理推進機構)が2021年1月に発表した「ソフトウェア等の脆弱性情報に関する届出状況」によると、2020年第4四半期 における脆弱性の届け出件数は303件。そのうち、Webサイトの脆弱性を狙われたことによる被害の届け出件数は、全体の約7割超を占めています。

また、最近のWebサイト制作には、Webアプリケーションが使用されているケースがみられますが、データ被害を受けた約5割がWebアプリケーションの脆弱性を狙った攻撃に由来。そのため、不動産・賃貸情報サイトを狙った攻撃は、今後さらに増えることが予想されます。

Webサイトによる集客を継続するのであれば、システム上の脆弱性を常にチェックしておくだけでなく、いつ起こるか分からないWeb攻撃にた対し常にWebサイトを保護するWAFを導入するなど、セキュリティ対策も強固にしておくことが重要といえるでしょう。

 

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由とは

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由には、下記の3つが挙げられます。

  • 個人情報の漏洩リスクの防止
  • フィッシング詐欺対策
  • ITリテラシーを向上させるため

理由①|個人情報の漏洩リスクの防止

Webセキュリティ対策が不十分だと、不動産・賃貸情報サイトから個人情報が漏洩してしまう危険性があります。個人情報は、個人情報保護法において下記のように定義されています。個人情報とは、生存する個人に関する情報であって、当該情報に含まれる以下の情報のこととなります。

  • 氏名
  • 生年月日
  • 特定の個人を識別できる内容
  • 個人識別符号が含まれる媒体

顧客や取引先の個人情報が漏洩した場合、相手から損害賠償を求められる可能性があります。そのようなリスクを防止するためも、Webセキュリティ対策が必要です。

理由②|フィッシング詐欺対策

不動産・賃貸情報サイトでメールでの「お問い合わせ」をしている場合は、フィッシング詐欺のリスクも発生します。フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法のこと。つまり、クレジットカード番号やアカウント情報(ユーザID、パスワードなど)といった、重要な個人情報を盗み出す詐欺行為を指します。

自身が被害にあうだけでなく、顧客にWebサイトを詐称したフィッシングメールが送信されて被害にあう可能性もあります。本物の不動産・賃貸情報サイトとほとんど区別がつかない偽造サイトを作るなど、フィッシング詐欺は手口が巧妙になっています。そのため、フィッシング詐欺対策のためにも、Webセキュリティ対策はしっかりしておきましょう。

理由③|ITリテラシーを向上させるため

ITリテラシーとは、通信・ネットワーク・セキュリティなど、ITに紐付く要素を理解する能力や操作する能力という意味。IT業界では、インターネットの正しい使い方やインターネットを利用するうえでのモラルといった意味でも用いられています。

不動産業界でも、不動産・賃貸情報サイトのインターネットを利用したサービスを提供しているのであれば、モラルとしてITリテラシーの向上に努める必要があります。

 

不動産テックの導入が加速化!Webセキュリティの増強が不可欠

Webセキュリティ対策強化は、不動産テックの導入が加速化している業界内全体として必要なものとなっています。そもそも不動産テックとは、近年のITの発達や規制緩和の動きとともに、IT技術を不動産分野に応用した新しい技術・サービスが導入が増えたことで作られた造語のことで、「不動産」と「Technology(技術)」が掛け合わさってできた言葉です。不動産テックの先進国であるアメリカをはじめ、イギリスやインド、中国などのアジア諸国でも不動産テックを活用した事業やサービスが活発に行われています。しかし、日本の不動産テック化はそれらの国々より大幅に遅れています。

そんな日本では、遅れを取り戻す動きや新型コロナウイルス感染症の発生による影響から、不動産業界でも業務のオンライン化などのデジタル化が進み、現代では日本国内の不動産テック化が急加速しています。しかし、不動産テックの導入が進むほど、不動産・賃貸情報サイトがサイバー攻撃を受ける可能性も高まります。

他の業種に比べて不動産業界は特にIT化が遅れていたため、不動産・賃貸情報サイトのセキュリティ対策に疎かった企業も多いでしょう。しかし、不動産テックの導入は今後ますます加速することが予想されます。もしそうなれば、ITリテラシーが業界により一層求められるでしょう。また、高いレベルでの個人情報保護やWebセキュリティ対策が求められます。将来的にみても、不動産・賃貸情報サイトにおいてWebセキュリティ対策の重要性はますます高まることから、セキュリティ対策の強化は今からでも意識しておくことが大切です。

 

さいごに

今回は、不動産・賃貸情報サイトのWebセキュリティ対策が必要な理由について解説してきました。不動産・賃貸情報サイトは、もともとサイバー攻撃に狙われやすい特徴が揃っていますが、不動産テックの加速が予想される日本の不動産業界において、Webセキュリティ対策は必須です。Webセキュリティに関して、早めの対策を心掛けましょう。

 

Webセキュリティ・プラットフォーム・サービス

Cloudbric WAF+