5つの事例で知るホームページ改ざんの脅威

 2017.05.10 Secure Enterpriseポータル

企業ホームページの改ざん事件は日常的に発生しています。セキュリティ情報の収集や啓もう活動を行っているJPCERTコーディネーションセンターのレポートによると、2016年10月~12月に受けたインシデント報告4,122件のうち688件がWebサイト改ざんによるものであり、その危険性の高さを物語っています。

この他にもSQLインジェクションやクロスサイトスクリプティングなど、Webサイトを対象としたサイバー攻撃は複数存在し、企業ホームページは常に何らかの脅威に晒されていると言っていいでしょう。

今回紹介するのは、そんなWebサイトを狙ったサイバー攻撃による5つの被害事例です。ここ半年以内に発生した事例をまとめましたので、セキュリティ意識向上のためにご一読ください。

大手メガネチェーン Apache Struts2脆弱性で個人情報流出

大型ショッピングモールなどを中心に全国展開するメガネ販売チェーンが運営するオンラインストアでは、今年3月の個人情報流出の可能性を公表しています。

不正アクセスが確認されてから調査を行った結果、当該第三者が118万3,550件の個人情報へアクセス可能な状態にあったようです。実害の有無については発表されていませんが、同社はこの不正アクセスに対し新たにサーバを用意しプログラムを移行しています。

原因となったのはWebアプリケーションのフレームワークとして広く使用されているApache Struts2の脆弱性です。

同社は2013年にも同様の脆弱性によりクレジットカード情報が外部へ転送されるという事例が発生しています。

Apache Struts2はオープンソース故にメリットが高い反面、脆弱性が発生しやすい状態にあるので、導入している企業は常に警戒が必要です。

参考:https://www.jins.com/jp/news/2017/03/web.html

国立大学付属病院 マルウェア感染により情報漏えいの可能性

地方の国立大学付属病院では、ログ解析用ソフトにて医療用端末を解析したところ、計2台の医療用端末にマルウェアが感染していたことが発覚しました。各端末には患者の個人情報が1名分ずつ保管されていたため、2名分の個人情報が流出した疑いがあります。

管理者が気付かない間に、端末がマルウェアに感染してしまっているという事例は、実は日常茶飯事的に起きています。最近のサイバー攻撃者は非常に狡猾で、攻撃の痕跡を残さないため、マルウェアに感染していたということにも気付かないケースもあるのです。

ここ数年では特に標的型攻撃によるマルウェア感染の危険性も高いので、ユーザーひとりひとりのセキュリティ意識を高めることが大切です。

参考:https://www.okayama-u.ac.jp/tp/news/news_id6578.html

大手電機メーカー オンラインサービスでパスワードリスト攻撃

世界的な大手電機メーカーが運営する、ゲーム用オンラインサービスでは、パスワードリスト攻撃によってユーザーのアカウントが書き換えられるという事例が発生しています。

パスワードリスト攻撃とは他社Webサイトで入手した、あるいは不正なルートから購入したアカウント情報を用いて、別のWebサイトで不正ログインを試みるというサイバー攻撃です。

複数のWebサイトでアカウント情報を共有しているユーザーは非常に多いため、成功率の高いサイバー攻撃であり、不正ログインされたユーザーはアカウントが乗っ取られてしまったり、クレジットカード情報などが搾取されてしまう可能性があります。

同社ではアカウント情報の不正利用を防ぐために、使い回しや推測さやすい文字列を避けるなど、適切なパスワード管理を行いマルウェア感染に注意したり、「2段階認証」活用するといった対策を呼びかけています。

たとえユーザーにも過失があったとしても、不正アクセスや情報漏えいの責任は全部企業にあります。このため、企業独自にWebサイトを保護するような対策を取っておくことが重要です。

http://www.jp.playstation.com/info/support/20170310-SEN.html

政府機関 4万件以上の個人情報流出の可能性

政府が運営する住宅金融機関では、Apache Struts2の脆弱性を突いた不正アクセスにより、4万3,540件の個人情報が流出した恐れがあります。

流出した情報はクレジットカード番号と有効期限、メールアドレス、セキュリティコード、住所、氏名、電話番号、生年月日などが流出した可能性があります。Apache Struts2の脆弱性を巡っては、様々な企業が被害に遭っているので最大限の注意が必要です。

また、ソフトウェアを常に最新の状態に保っていても、未知の脆弱性を狙った不正アクセスは否定できません。

従って定期的なアップデート対応だけでなく、さらに有効的な保護対策を立てる必要があります。

参考:http://itpro.nikkeibp.co.jp/atcl/news/17/031000790/

大手ホームセンター 不正アクセスで個人情報流出の可能性

大手ホームセンターが運営している手作り作品の通販サイトでは、第三者による不正アクセスにより861件の個人情報が流出した可能性があります。

不正アクセスによる影響は出ていませんが、この事例を受け同社ではユーザーのクレジットカード差し替えの費用を負担するなど、少なからず損害が発生しています。

本事例のように一度情報漏えいが起きてしまうと、たとえ実害がなくとも、事後対応のためにコストがかかります。被害規模が大きいほど補償の必要性も出てくるので、こうした損害を避けるための対策が重要です。

参考:https://www.tokyu-hands.co.jp/information/01824184728f529f5f0f6e2ba0196c97440cdd9f.pdf

Webサイトを保護するためのWAFとは

今回紹介した5つの事例では、いずれもWebアプリケーションやミドルウェアなどが持つ脆弱性が狙われ事件に至っています。単純に考えれば脆弱性をカバーすればいいだけなのですが、そうもいかないのがWebサイトセキュリティです。

111

Webアプリケーションなどは特に脆弱性が発生しやすい場所なので、都度対応しても情報漏えいの危険性は無くなりません。従って、脆弱性をカバーしつつ、サイバー攻撃を検知し通信を遮断するような対策が必要です。

そしてこれを実現するのがWAF(ウェブアプリケーションファイアウォール)です。

WAFはWebアプリケーションとクライアント間のHTTP/HTTPS通信を監視するため、脆弱性の有無に関係なく不正な通信を検知及び遮断します。このためWebサイトに脆弱性が発生したとしても。外部からの不正アクセスをブロックすることができます。

もちろん、クロスサイトスクリプティングなどWebサイト改ざんを目的としたサイバー攻撃からも保護します。

まとめ

今回紹介したような、Webサイトを対象としたサイバー攻撃事例は日々発生しています。ドメインを公開している限り、如何なるWebサイトも狙われる可能性はあるのです。特に近年では企業規模を問わずサイバー攻撃が仕掛けられているので、WAFなどのセキュリティソリューションで早急な対策を立てていきましょう。