不正アクセスの被害事例について理解する
サイバー攻撃が横行している昨今、不正アクセスによって情報漏えいなどの被害に遭っている企業が増えています。不正アクセスの被害を受けると、企業の経営にも大きく影響してしまうため、どのように対策をしていくべきか理解しておかなければなりません。
今回は、不正アクセスの原因や対策方法を事例を取り上げながら解説します。
目次
不正アクセスが起こりうる原因と種類
不正アクセスが発生する原因には、主にIDやパスワードの情報が盗まれる「識別符号窃用型」と、クラッカーが攻撃を加えてくる「セキュリティ・ホール攻撃型」があります。
令和4年に総務省が発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、不正アクセスのおよそ9割が識別符号窃用型による被害となっています。
この章では主に不正アクセスの原因となる、以下の5つの原因について解説していきます。
- パスワードリスト攻撃
- SQLインジェクション
- OSコマンドインジェクション
- バッファオーバーフロー攻撃
- 総当たり攻撃
参照:https://www.soumu.go.jp/main_content/000807446.pdf
参照:https://www.ipa.go.jp/security/vuln/websecurity.html
パスワードリスト攻撃
パスワードリスト攻撃とは、事前に取得したIDとパスワードのリストで不正ログインを試みる攻撃です。
攻撃者は利用者のIDとパスワードの組み合わせを把握しているため、総当たり攻撃と違って数回のログインで突破されてしまいます。
そもそもIDとパスワードのリストは、他のサービスから漏えいした情報をもとに作られているため、同じIDとパスワードを使い回していると侵入される可能性が高いでしょう。
こうしたリストは、ダークウェブなどで取引がおこなわれており、侵入されるまで情報の流出に気付かないケースが多いのが特徴です。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションのフォームなどに不正なSQL文を入力して実行させる攻撃です。
攻撃者は不正なSQL文を入力し、該当システムのログイン情報や機密情報を入手しようとしてきます。フォームなどで、SQL文が入力されたときのチェック処理を実施していないと被害を受ける可能性があります。
場合によってはデータを取得されるだけではなく、登録や更新といったUpdate処理のSQLが実行されてしまい、データが改ざんされてしまうリスクもあります。
OSコマンドインジェクション
OSコマンドインジェクションとは、ファイル操作や権限変更などのOSに対する命令文を、Webサーバーへのリクエスト時に不正に実行させる攻撃です。
攻撃を受けたWebサーバーは、OSコマンドを実行してしまうと、サーバー内に保存している重要な機密情報を含んだファイルの改ざんや、情報漏えいなどにつながってしまう恐れがあります。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、Webサーバーやパソコンに対して大量のデータを送りつけ、メモリ領域を枯渇させることで管理者が想定していない動作を生じさせる攻撃です。
バッファオーバーフロー攻撃は、大量のデータが送られてきたときに、許容量の制限やチェックをしておかないと被害を受ける可能性があります。
被害を受けてしまうと、Webサーバーがウイルスに感染してしまったり、サイバー攻撃の踏み台として利用されたり、管理者権限が奪われて情報漏えいにつながったりするケースがあります。
総当たり攻撃(ブルートフォース攻撃)
総当たり攻撃とは、別名「ブルートフォース攻撃」とも呼ばれており、ID/パスワードの考えられるすべての組み合わせパターンを試して不正ログインを試みる攻撃です。大量の施行回数で全パターンを試してくるため、必ず正解の組み合わせを見つけ出します。
例えば、8桁の数字で構成されるパスワードがあったとします。IDがメールアドレスの場合、パスワードさえ把握できれば簡単に不正ログインが成功してしまうでしょう。悪意のあるものは「00000001、00000002、00000003……」とすべての組み合わせを試してログインを試みます。ログイン回数に制限をかけていない場合、必ずどこかのパターンで合致し、不正ログインが成功して不正利用や情報漏えいにつながるリスクがあるというわけです。
不正アクセスの事例
ここでは、不正アクセスによって発生した事例を解説していきます。
- 情報漏えいの事例
- Webページ改ざんの事例
- データ破壊の事例
情報漏えいの事例
1つ目は、不正アクセスによって情報が流出した事例です。
この事例では、SQLインジェクションによってデータベースから2,753,400件の個人情報(氏名、生年月日、メールアドレス、住所など)が盗み出されてしまいました。具体的には、Webサイト内の検索ボックスに想定しないSQL文を入力し、実行させることで不正にデータを取得したとされています。
SQLインジェクションの被害に遭わないためには、
- 検索ボックスでエスケープ処理をしてSQL文を実行できないようにする
- WAFを導入してアプリケーションレイヤーの攻撃を検知する
- 脆弱性診断サービスを利用する
などがあげられます。
Webページ改ざんの事例
2つ目は、不正アクセス後にWebページを改ざんされた事例です。
この事例では、サーバーの脆弱性をついてWebサイトにマルウェアを仕込まれるというものです。マルウェアはWindowsやJava、Adobeなどの脆弱性を突いたものとなっています。OSやソフトのセキュリティアップデートを適用していないPCが当該サイトにアクセスすると、自動的にマルウェアがダウンロードされてしまうという仕組みです。ダウンロードされたマルウェアにより、PC内の情報が盗み出されてしまう危険がありますが、本事例では情報漏えいの事実は確認されなかったようです。
発覚後は、該当期間内にアクセスしたユーザーに対して、セキュリティソフトによるスキャンの実施、スキャンで洗い出されたファイルの駆除の実施を呼びかけて対応しました。
データ破壊の事例
3つ目は、サーバーなどで管理する機密データが破壊された事例です。
この事例は、Windowsが標準で搭載する「SMB1.0」と呼ばれるプロトコルの脆弱性を突き、社外からリモートコードを実行させることでランサムウェア(WannaCry)に感染させたというものです。
Microsoftからは、すでにSMB1.0の脆弱性を修正したセキュリティパッチを配布していたものの、被害を受けたサーバーには適用されていなかったため、今回の事例が発生してしまいました。ランサムウェアに感染するとデータが暗号化されてしまい、攻撃者以外はデータへアクセスができなくなります。暗号化を解くために多額の身代金を要求してくるケースもあります。
本事例ではデータ復旧やシステム環境の構築など、完全な復旧までに1週間程度の時間を要しました。ランサムウェアに感染してしまった場合は、日頃から取っているバックアップからシステム復旧を素早く行う必要があります。
不正アクセスを未然に対策するには
不正アクセスを未然に対策するには、以下の対応が重要です。
- 適切なシステムアップデートを行う
- セキュリティの意識の向上
- 適切な権限設定や分離・暗号化
- 定期的な脆弱性診断を行う
適切なシステムアップデートを行う
各種デバイスのOS、利用するアプリケーションなどは常に最新を保つことが大切です。
OSの場合には、ベンダーから定期的に公開されるバージョンアップデートやセキュリティアップデートを欠かさずに適用する運用を心がけましょう。社内で抱えているPCが多い場合には、OSのバージョン管理ができる資産管理ツールの導入、WSUS(Windows Server Update Services)を活用すると、一括で管理できるため効率的です。
アプリケーションについても同様で、ベンダーから出されるアップデートを適用して常に最新のバージョンを維持しましょう。アプリケーションによっては、開いたときに自動でアップデートを実施してくれるケースもあるため、自動更新が有効になっているか設定を見直すことも重要です。
セキュリティの意識の向上
いくらシステムで防ごうと思っても、人的なセキュリティ意識が欠如していれば情報漏えいは防げません。例えば、Emotetによる被害は、メールを受信した人が添付ファイルを開かなければ感染するリスクを防げます。フィッシングサイトについても、メールに記載しているURLには直接アクセスしないよう、徹底することで回避可能です。
そのため、社内では
- 添付ファイルを開かず、開く前に本人へ確認をする
- オンラインストレージを活用してファイル共有をする
- メール本文に記載しているURLにアクセスせず、ブラウザから直接アクセスする
などをメールで定期的に発信するなどの啓蒙活動をすると良いでしょう。
また、定期的にセキュリティ訓練としてサイバー攻撃を装ったメールを社内へ送信し、セキュリティへの意識を高めていくと効果的です。
適切な権限設定や分離・暗号化
仮に不正ログインの被害を受けたとしても、ログインしたユーザーが権限を持っていなければ情報へのアクセスができません。
全員が同じ権限設定にするのではなく、業務・部署・役職などに応じた適切な権限設定をしましょう。
また、社内ネットワークを業務や重要な情報ごとに分離すると、仮にどこかのネットワークでマルウェアに感染しても他のネットワークに感染するリスクを減らせます。重要な情報を扱うPCやサーバーの場合は、常に暗号化をして他人から見られないようにすることも重要です。
定期的な脆弱性診断を行う
外部に対してWebサービスを提供している企業は、定期的な脆弱性診断を行いましょう。脆弱性診断は、Webサービスに潜む脆弱性を洗い出せるため、前述した「SQLインジェクション」「OSコマンドインジェクション」「バッファオーバーフロー攻撃」などの被害を受ける可能性がないか確認できます。
脆弱性診断を実施すると、どのような脆弱性があるか分かるだけではなく、どのような修正を加えればいいのかも提示してくれます。診断結果をもとにシステムを修正した後は、定期的に診断を実施したり、ペネトレーションテストなどの実際のサイバー攻撃を想定した診断を受けたりするのも良いでしょう。
定期的な脆弱性診断なら「Securify Scan」
不正アクセスは、情報の改ざんや情報漏えいによって企業に大きな損害を与えるため、日頃からセキュリティ対策をしていかなければなりません。
弊社で提供するWebアプリケーション脆弱性診断ツールの「Securify Scan」は、URLだけで簡単にWebセキュリティ対策を実現できます。多数の診断項目に対応しており、「SQLインジェクション」や「クロスサイト・スクリプティング(XSS)」などの対策に加えて、脆弱なJavaScriptライブラリの使用の有無やポートスキャンにも対応しています。また、専門的な知識が不要でツールを扱えるうえ、診断後の対策方法まで解説してくれるため、企業内にセキュリティの専門家が不在でも活用できるのが特徴です。
ただし「人」に対する防御(例えば、メールでウイルスを含む悪意のあるファイルを送るといった「標的型攻撃」など)は、従業員のリテラシーに依存するため、Securify Scanでは防御できません。Securify Scanで防御できるのは、あくまでシステムに対しての対策(脆弱性を突かれて漏えいや乗っ取り)となるため用途を正しく理解しておく必要があります。
現在Securify Scanでは無料トライアルを受け付けているため、セキュリティを強化したい企業様はぜひご参考にしていただければ幸いです。
