1. トップページ
  2. コラム
  3. 【セキュリティ】今一度意識を!貴方のセキュリティ対策は大丈夫?

【セキュリティ】今一度意識を!貴方のセキュリティ対策は大丈夫?

タイムリーな話ですが、先日この様な事件が発生しました。
「うそでしょ」 “全市民46万人分”の個人情報USB紛失 業者が飲酒しカバンごと紛失 尼崎市

住民基本台帳データなどが入った重要なUSBメモリを紛失し、
更に会見でパスワードの桁数を職員が暴露してしまうなど
情報セキュリティ研修の教材になりそうな程典型的なダメな例が現実に起きてしまいました。

前回、WordPressの脆弱性と対策についてお伝えしましたが、
せっかくの機会なのでセキュリティについての危機意識や対策について今回はお伝えしたいと思います。

まず何が問題だったのか


言わずもがなかとは思いますが、改めて本件の問題を箇条書きで起こしてみましょう。
・業務委託先の社員が移管作業のため必要なデータを記録したUSBメモリーの中身を削除していない
・そのまま無断でUSBメモリーを持ち出し飲食店へ
・泥酔し、路上で寝てしまいUSBメモリー入れた鞄ごと紛失
・USBメモリーのパスワードの構成と桁数を記者会見で市の担当者がうっかり発表してしまう

うーん、ヤバい。
もはや説明不要だと思いますが、
業務委託先の社員の管理体制の杜撰さと、
市の担当者のセキュリティリテラシーの低さ
如実に表れています。

当たり前の事ですが、
移管作業のため必要だったとはいえ作業終了後は
必ずデータの中身を削除するべきですし、
持ち出すにしても必ず許可を得ましょう。
ましてやそのまま飲酒するなどもっての外。
自分は大丈夫と思っても、不注意で何かやらかすのが人間ってものです。

そしてパスワードの桁数を公表してしまうのも、
その意味を全く理解していないのでしょう。
セキュリティ攻撃の種類の一つに、
ブルートフォース攻撃というものがあります。
理論的にあり得る全てのパスワードを何度も入力し続け、
無理矢理ログインやアクセスをさせてしまう攻撃です。
今回はUSBメモリの紛失でしたが、
webサイトでも同じような事象は起こりえます。
そこで、セキュリティ攻撃として代表的なものをご紹介していきます。

セキュリティ攻撃の種類

クロスサイトスクリプティング(XSS)


脆弱性のあるwebサイトに、攻撃者が悪質なサイトへ誘導するスクリプト(プログラムのようなもの)を仕掛け、
そのサイトに訪れたユーザーの個人情報などを抜き取ったり攻撃です。
例えば、ブログのコメントや掲示板などの入力フォームに、スクリプトを組み込みます。
すると攻撃者は悪意のあるwebサイトへ遷移するリンクボタンを設置する事ができ、
そのリンクをクリックして悪意のあるwebサイトへ遷移したユーザーの個人情報などを抜き取るのです。

対策としては、入力するスクリプトの無害化(サニタイジング=スクリプトの文字列を実行不可なものに置換する)や
入力値の制限などがあります。

マルウェア


webサイトやメールに添付された悪意のあるファイルをダウンロードし、
インストールされるとそのPCから機密データの搾取をしたり
マシンを勝手にコントロールできるようにする攻撃です。
一般的に言われるPCのウィルス感染といえばイメージしやすいでしょうか。

セキュリティソフトの導入や、
そもそもダウンロードをしないなどのリテラシーを持ちましょう。

SQLインジェクション攻撃


SQLとは、データベースと通信する為に用いられるプログラミング言語です。
データベースを管理するSQLの脆弱性を狙って、
悪意のあるコードを実行させる攻撃のことをいいます。
この攻撃によって、データベースのデータが不正に操作され、
情報漏洩やホームページの改竄などの被害が出てしまいます。

webサイトやwebアプリケーションを制作する際、
SQL文の組み立てや構築をしっかりと行い、
攻撃されてもしっかりと防げるような堅牢なwebサイトやwebアプリケーションを作らねばなりません。
セキュリティ意識が低いと必ず弱点を突かれるようなものが出来上がってしまいます。

DDoS攻撃


webサイトやサーバーに対して負荷が大きい過剰なアクセスやデータなどを送付する攻撃です。
この攻撃を受けることで、ネットワークの遅延やサーバーがダウン発生してしまいます。

特定のIPアドレスの遮断や海外からのアクセスを絞ったり、
対策ツールの導入など行い防いでいきましょう。

ランサムウェア

暗号化などによってデータを使用できなくし、
元に戻すことと引き換えに金銭等を要求する不正プログラムです。
電子メールなどで送られてくる怪しいファイルは絶対に開かないでください。

水飲み場型攻撃

ターゲットがよく訪れるサイトを改ざんし、不正プログラムを仕掛けます。
サイトを訪れると端末に不正プログラムがインストールされてしまう仕組みです。
不審なサイトは訪問せず、セキュリティソフトを使用して怪しいサイトの警告が出たら必ずその警告に従ってください。

まとめ


上記以外にも、セキュリテイ攻撃の種類はまだまだあります。
残念ながら悪意を持った人間があの手この手で危害を加えようとしてくるので、
しっかりと対策をして攻撃から身を守らなければなりません。
ツールやセキュリティソフトの導入で防ぐ事はもちろん可能ですが、
何より個人情報や社外秘の機密データを扱う以上、
リテラシーや意識を高く持たなければなりません。

webサイトを運営してるけど、セキュリティが不安であったり、
安全で堅牢なwebサイトを持ちたいと思ってらっしゃる方が居られれば是非、
一度弊社にお問い合わせ下さい。
無料でご相談に対応させていただきます。

それでは。

ホームページ・ECサイト運用に関する情報をメルマガで配信中!
WEB担当者様向けのお役立ち情報を無料でご案内しております。
登録は下記フォームから!


この記事を書いた人

デザイントランスメディア

Creative & Development Division