被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は?
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
新型コロナウイルスの影響もあり、私たちの日々の生活や経済活動はインターネットにより強く依存することになった。一方でサイバー攻撃も大幅に増加し、多くの企業がWebサイトやWebアプリケーションにおけるセキュリティ対策に苦慮している。特に犯罪者が狙うのは、ユーザーIDやパスワードなどの個人情報だ。情報流出を防ぐため、セキュリティ担当者はどうすればいいのか。サイバー攻撃の最新動向や特徴を踏まえ、これだけは押さえておきたいセキュリティ対策のポイントを解説する。
(Photo/Getty Images)
サーバでの攻撃検知が難しい「クライアントサイド」攻撃の実態
Webサーバに対する最も基本的な攻撃方法として、サーバの脆弱性を突き、WebShell(Web上でサーバに対して任意のコマンドを実行できるインターフェース)によって遠隔からサーバを操作し情報を盗むといった手法がある。しかし近年、攻撃はさらにもう一段階進歩している。たとえば、悪意のあるJavaScriptをクライアント側に組み込むことで、サーバ側にはそれが攻撃だと分からない手法でPIIデータ(個人を特定できる情報)を窃取しているのだ。
これがいわゆる「クライアントサイド攻撃」であり、昨今多くの企業で被害が発生している「Webスキミング攻撃」もその典型例だ。Webスキミング攻撃とは、ECサイト上などに不正なコードを仕込み、サイトの利用者が入力した個人情報を攻撃者が盗み取る行為のことだ。
Webスキミング攻撃では、まずサーバの脆弱性を突き、WebサービスやWebサイトの利用者への表示ページに対して、改ざんされた悪意のあるJavaScriptのコードを配信する。それにより、ECサイトであれば、ユーザーが入力した情報が直接攻撃者のサーバ(コマンド&コントロールサーバ)に送信されてしまう。正規のサーバと通信しないため、情報流出の検知が難しいのが特徴だ。
2018年には英国ブリティッシュ・エアウェイズが、Webスキミング攻撃によって顧客情報漏えいを起こし、訴訟問題にまで発展している。Webスキミングは日本ではまだ馴染みが薄く、多くの企業の理解が十分とは言えない。ファーストパーティのJavaScriptなら改ざんされにくいと考えるかもしれないが、同社の事例はサードパーティーではなくファーストパーティの改ざんであり、決して安心はできない。
一方で、システムが稼働する「サーバサイド攻撃」についてもその手法は進化を続けている。
この記事の続き >>
・2年間で43.8億件、長年に渡って存在する脅威
・増加するボット攻撃への対応は?
・Webセキュリティ対策として実施したい「最低ライン」
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
