昨今不正アクセスやサイバー攻撃による被害のニュースが後を絶ちません。
こうした中、経済産業省は2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込みました。
セキュリティ対策を行うことはもはや必要な外部からの攻撃から自社やお客様を守るのに必要な防衛予算と言えるでしょう。
経済産業省が求めるセキュリティ対策強化のポイント
経済産業省は非対面取引におけるクレジットカード決済の更なるセキュリティ対策強化を図るため、クレジットカード決済網に関わる多様なプレーヤーによる多面的・重層的なセキュリティ対策の取組を求めています。
EC加盟店では、クレジットカード番号等の適切管理義務の水準を引き上げるべく、ECサイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等-例:OSS(オープンソースソフトウェア)を利用したサイト等への対策、WAF(Webアプリケーションファイアウォール)の導入)を求めています。
「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました(経済産業省サイト)
脆弱性診断
ネットワークやサーバのセキュリティ上の脆弱性(脆弱な箇所や弱点)を特定するための検査です。
そして、脆弱性とは、悪意のある攻撃者がシステムに不正アクセスしたり、攻撃したりするために利用可能なネットワークやサーバといったシステムの欠陥や不備のことを指します。
脆弱性診断は、脆弱性を特定し、それを修正することでセキュリティを強化するために行われます。
自動化されたスキャンツールを使用して自動的に診断を行う方法と、手動でペネトレーションテスト(攻撃者の視点からシステムを評価する模擬攻撃)を行う方法があります。
自動化されたスキャンツールは、ある程度の脆弱性を検出できますが、完全ではありません。
手動のペネトレーションテストは、実際の攻撃を模擬することで、セキュリティ脆弱性を特定するための手法です。また、実際の攻撃と同じように振る舞うため、専門家が実施することが推奨されます。
緻密な脆弱性を検出できますが、ツールでの診断よりコストが高く掛かります。
では、サイバー攻撃にはどのようなものがあるでしょうか。
サイバー攻撃の手法
以下は、サイバー攻撃の例です。
パスワードクラック
弱いパスワードを使っているユーザーアカウントを見つけ、ログインしてシステムにアクセスします。
一般的な手法には、辞書攻撃やブルートフォース攻撃があります。辞書攻撃とは、辞書ファイルを使用して、多数のパスワード候補を順次試行することでパスワードを解析する手法です。ブルートフォース攻撃とは、全ての組み合わせを試みてパスワードを解析する手法で、多数のパスワード候補を繰り返し試行することで解析を行います。
SQLインジェクション攻撃
主にWebアプリケーションに対して行われます。攻撃者は、Webフォームに入力されたデータに不正なSQLコマンドを組み込むことで、Webアプリケーションがデータベースに送信するSQLクエリを改ざんします。例えば、Webフォームに入力されたユーザ名やパスワードを利用してログインする処理において、攻撃者は不正なSQL文を組み込むことで、本来のログイン処理とは異なるSQL文を実行させることができます。この攻撃によって、攻撃者はデータベース内の情報を取得することができます。これには、ユーザー名、パスワード、クレジットカード番号、機密文書、その他の重要な情報が含まれます。
クロスサイトスクリプティング(XSS)
Webアプリケーションの脆弱性を悪用して、不正なスクリプトを実行する攻撃手法の一つです。
攻撃者は、Webページに不正なスクリプトを埋め込むことで、そのWebページを閲覧したユーザーに不正な操作を行わせることができます。例えば、ユーザーになりすまして不正なログインを行わせたり、クッキー情報を盗み出して不正にアクセスしたりすることが可能です。さらに、マルウェアのインストール、悪意あるコードの実行などが可能です。
フィッシング(Phishing)
偽装したWebサイトやメールなどを利用して、個人情報やパスワード、クレジットカード情報などを詐取する攻撃手法の一つです。
一般的な手法として、偽装されたWebサイトにログインするように促す偽のメールを送信することが挙げられます。このメールのリンクをクリックすると偽装されたWebサイトにアクセスさせられます。偽装されたWebサイトは、本物のWebサイトとそっくりのデザインやURLを模倣しており、ユーザーは自分が本物のWebサイトにアクセスしていると思い込みます。しかし、ユーザーが入力した情報はすべて攻撃者側に送信され、個人情報やパスワードなどが盗まれることになります。
DDoS (Distributed Denial of Service) 攻撃
複数のマシンやネットワークを利用して、同時に多数のリクエストを行うことで、サービスの停止を引き起こす攻撃手法です。
攻撃者は、大量のコンピュータを作成し、それらを使用して攻撃対象に対してトラフィックを送信することができます。これにより、攻撃を受けたサーバは、多数のリクエストを処理するためにリソースを使い果たしてしまい、サービスを停止させることができます。
DDOS攻撃は、企業や政府、オンラインサービスプロバイダー、個人のウェブサイトなど、さまざまな種類のターゲットに対して行われることがあります。
マルウェア攻撃
悪意のあるプログラム(マルウェア)を使用してコンピューターシステムやネットワークを侵害し、情報を盗み出したり、システムを破壊したりする攻撃のことを指します。
マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどのさまざまな種類があります。これらのマルウェアは、悪意のあるコードを含むメールの添付ファイル、不正なWebサイト、ソーシャルメディアのリンクなどからシステムに侵入することができます。
マルウェア攻撃の目的は、システムやネットワークを制御することにあります。攻撃者は、盗聴や監視、データの窃取、システムの乗っ取り、ランサムウェアによる金銭要求などを行います。
さまざまな攻撃に対するセキュリティ対策は?
次のようなことが効果的です。
1.ソフトウェアやシステムを常に最新の状態に保つ
脆弱性の修正パッチやアップデートを適宜適用すること。
2.不要なサービスやポートを閉じる
不要なサービスやポートは攻撃の入り口となるため、必要のない入口は無効化しておくことが重要です。
3.セキュリティポリシーを策定する
セキュリティポリシーを策定し、社員や従業員に啓蒙することで、情報漏洩やセキュリティ侵害のリスクを軽減することができます。
4.パスワードの強化を行う
パスワードを定期的に変更する、複雑なパスワードを設定する、パスワードを共有しないなど、適切なパスワードの管理を行うことが重要です。
5.攻撃を防御する仕組みを導入する
WAF(Webアプリケーションファイアウォール)の導入することで外部からの攻撃を防御することができます。
CloudflareWAFによるセキュリティ対策
Cloudflareは外部からのサイバー攻撃を防御します。
DDoS攻撃の防止
世界中に分散されたサーバを使用して、Webサイトに対するDDoS攻撃を自動的に検出し、防止します。これにより、Webサイトの可用性が向上し、ビジネスに与える影響を最小限に抑えることができます。
ファイアウォールの保護
Webサイトのトラフィックを監視し、不審なトラフィックや攻撃をブロックするファイアウォールを提供します。これにより、Webサイトのセキュリティが向上し、悪意のある攻撃から保護されます。
BOTの検出と防止
機械学習を使用して、WebサイトにアクセスするBOTを検出し、不審な活動をブロックします。これにより、Webサイトのパフォーマンスが向上し、不正アクセスから保護されます。
SSL/TLSの暗号化
SSL/TLSを使用してWebサイトの通信を暗号化し、機密情報の漏洩を防止します。これにより、Webサイトのセキュリティが強化され、ユーザーのプライバシーが保護されます。