~昨今多発している不正アクセス等のサイバー攻撃対策に効果的なクラウド型WAFサービスをご紹介~
この度、パートナー企業である大興電子通信株式会社様と共同でオンラインセミナーを開催いたしました。大興電子さんからは「不正アクセスなどのサイバー攻撃、どのように対応するか?~サイバー攻撃の発生状況と対策の必要性~」を、弊社からは「企業情報セキュリティの考え方の基礎と今求められているクラウド型WAFその選び方について」をテーマに講演しました。セミナーを見逃した方や、もう一度セミナーを見たい方のためにセミナー動画を共有いたします。
サイバー攻撃を防ぐためのWebセキュリティ対策や今注目を浴びているクラウド型WAFについて詳しく説明していますので、WAFをよくわからない方にもお役に立つ情報がたくさんありますので、ぜひご覧ください。
「DDoS攻撃」、「脆弱性スキャン」、「Web改ざん」、「不正アクセス」
これらのサイバーセキュリティ被害事例は日々増加する一方です。企業の規模と業種を問わず、攻撃者は常にWebサイトへの攻撃を試みています。
本セミナーでは「なぜ、WAFを導入するのか。WAFの定義と防御領域」をテーマとして、Webサイトの保護に特化したセキュリティ対策としてのWAFの概念と必要性、ネットワーク・セキュリティ製品とWAFの防御領域の差異を詳しく解説します。
巧妙化・進化する攻撃から企業のWebサイトを守るためのセキュリティ対策を検討されている方はぜひご参加ください。
■このような方にオススメ!
✓そもそも”WAF”とはなにか、もう少し詳しく知りたい
✓Webセキュリティ対策を検討している
✓Webサイトに対するサイバー脅威の種類とそのリスクを知りたい
■お申込み : https://zoom.us/webinar/register/WN_yXHyFDQvTVGolVdj8wOABw
■日時 : 2021年11月10日(水)14:00~14:30(30分)
※ 13:50からご入場できます。
■場所: Zoomウェビナー
※ お申込みいただいた方に、視聴用URLをメールにてご案内いたします。
■参加費: 無料
ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。
ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。
ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。
こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。
「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。
ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。
パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。
ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。
ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/
「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html
「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742
こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。
「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。
こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。
クラウド型セキュリティ・プラットフォーム・サービス
不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。 今回は深刻な不正アクセス被害についてのレポートと、その対策についてまとめてみました。
不正アクセスされると、企業が管理している外部に漏えいしてはいけない機密データや個人情報などが流出します。個人だけでなくアカウントが保持している他人の機密データの内容までもが流出する危険があります。その結果、通販サイト等のアカウントに不正アクセスされることでクレジットカード情報等が流出してしまい、商品を勝手に購入されたり、ポイントが不正に使用されてしまうといった被害が起こります。金融系のサービスでは、正規ユーザーのIDやパスワードなどを入手した第三者が勝手にログインし、不正に送金を行うなど、ユーザーの預金が消失するケースもあります。
攻撃者は、インターネットを通じて企業や組織のサーバや情報システムに侵入を試みます。手口としては、ツールを用いてアカウント情報を窃取するための総当たり攻撃を行ったり、OSやソフトウェアの脆弱性、設定の不備など利用して攻撃することが知られています。
攻撃者は侵入に成功すると、その中にあるホームページの内容を書き換えたり、保存されている顧客情報や機密情報を窃取したり、重要なファイルを消去したりすることもあります。 ホームページの書き換えは、いたずらでまったく関係ない画像を掲載するものから、最近はホームページにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりするものが増えています。ホームページが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。
不正アクセスによって侵入されたシステムは、攻撃者がその後いつでもアクセスできるように、バックドアと呼ばれる裏口を作られてしまうことが知られています。攻撃者は、そのシステムを踏み台として、さらに組織の内部に侵入しようとしたり、そのシステムからインターネットを通じて外部の他の組織を攻撃したりすることもあります。
この場合に多く見られる例は、攻撃者によってボット ウイルスを送り込まれ、自分がボットネットの一員となってしまうというものです。ボットネットとは、攻撃者によって制御を奪われたコンピュータの集まりで、数千~数十万というネットワークから構成されていることもあります。攻撃者はボットに一斉に指令を送り、外部の他の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりすることもあります。
象印から個人情報漏洩 フィッシング被害も – 日経XTECH 2020年1月23日
象印マホービンのグループ会社が運営する通販サイト「象印でショッピング」が不正アクセスを受け、最大28万件の個人情報が漏洩した。個人情報には、名前や住所、メールアドレスが含まれていたが、クレジットカード情報は含まれていなかった。システムの脆弱性を悪用されたとしている
漏洩した個人情報を使ったとみられるフィッシング被害も発生した。偽の当選通知が被害者に届き、そこには当選した金券の送料を負担してほしいと書かれていた。この送料の支払い画面にクレジットカード情報を入力させる手口だった。支払い画面には、同サイトのWebページを改ざんしたものが使われた。
出典:https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/012000011/
JR東の「えきねっとアプリ」 3729人が不正ログイン被害 – 日本経済新聞 2020年3月3日
JR東日本は3日、在来線の指定席列車の予約や購入がチケットレスでできるスマートフォンアプリの「えきねっとアプリ」で不正ログインの被害があったと発表した。2日の午後5時30分ごろから3日の午後0時37分までの間に3729人のえきねっと会員が不正ログインされた。
不正ログインのあった期間中に、13人分の氏名や住所、電話番号や下4ケタのクレジットカード番号の閲覧があった。13人のうち、自身で会員情報を見ていた利用者もおり、不正ログインによる閲覧があったかどうかは調査中という。JR東は不正ログインのあった3729人分のパスワードを強制的に変更して通知したほか、セキュリティー対策を強化した。
出典:https://www.nikkei.com/article/DGXMZO56358570T00C20A3TJC000/
「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも – Tmedia NEWS 2019年1月26日
大容量ファイル送信サービス「宅ふぁいる便」を運営するオージス総研は1月26日、同サービスの一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと発表した。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。
出典:https://www.itmedia.co.jp/news/articles/1901/26/news015.html
宅ふぁいる便は不正アクセス事件以降サービスを休止して、再発防止を含めた対策を1年ほど検討していましたが、結局2020年3月31日をもって、サービスの終了を決定しました。理由としては、サービス再開には相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、サービスを終了せざるえないとの判断になったと公式ページで説明しています。
このような不正アクセスの事例は後をたちません。 情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威 2019』でも、組織に対する脅威の7位に「インターネットサービスからの個人情報の窃取」がランクインしています。インターネットサービスの脆弱性が悪用され、インターネットサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生しています。攻撃者は窃取した情報を悪用して不審なメールを送信したり、クレジットカードを不正利用したりします。
一度不正アクセスされクリティカルな情報漏えいが発生してしまうと、その為の対策費用や賠償が重くのしかかって、最悪宅ふぁいる便のようにサービスの停止や終了につながります。
総務省は過去5年間の「不正アクセス行為の発生状況」において、平成30年における不正アクセス行為の認知件数注1は1,486件であり前年から284件上昇したと報告しています。このうちターゲットとなったのは一般企業が1,314件でほとんどの不正アクセスが企業であることを示しています。企業において、不正アクセスによる被害を回避するには一般的に次のような対策をとることがすすめられています。
セキュリティソフトやファイヤーウォールを導入している企業は多いと思いますが、それでも毎年被害が減ることはありません。一般的なファイヤーウォールは外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことを言います。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。しかし通常のファイヤーウォールは「通信の中身」まで識別することはできません。
一方でWAF(ウェブアプリケーションファイアウォール)はHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。以前はコストも高かったり、運用が難しい等の理由で導入を見送る企業も多かったですが、現在はホスト型、ゲートウェイ型の他クラウド型のWAFも登場し、専門知識がなくても簡単に運用できる製品が出ています。クラウド型は専用ハードウェアを用意する必要や、物理的なネットワーク構成を変更する必要がなく、WAF運用をベンダーに任せられるのがメリットです。
サイバー攻撃の手法は多様化し、従来の技術だけでは防御することが難しくなってきています。サイバー攻撃に特化したWAFを導入し、高度な防御体制を構築していくことをお勧めします。
