Webサイトへのサイバー攻撃について

ネット通販市場が急拡大する中、自社のWebサイトを商品販売やサービス予約などに活用する企業も増えています。また現在は、ホームページを持たない企業は稀になっています。今回は、Webサイトへのサイバー攻撃について考えていきます。
ファイアウォールで外敵から守られたローカルネットワークと違い、Webサイトは誰にでも見てもらえるようにするため、外部に公開されたサーバーで運用します。そのため一般的なセキュリティリスクとは異なるリスクが存在します。

Webサイトには、三つのリスクがある

Webサイトのセキュリティリスクは大きく三つの方向から考えることができます。一つ目は、攻撃者がサーバーに過剰な負荷を掛けることによるトラッフィク遅延やサーバー機能の停止です。
DoS／DDoS攻撃と呼ばれるこの手法は比較的古くから存在し、嫌がらせを目的とした攻撃などに今も使われています。DoSはDenial of Service attackの略で一対一の攻撃、DDoSはDistributed Denial of Service attackの略で多対一の攻撃で、複数のIPを使って攻撃するためより負荷も大きく、対応も難しくなります。

いたずらや主義主張の誇示するWebサイトの改ざん

次がWebサイト改ざんリスクです。いたずらや主義主張の誇示といった従来型の攻撃に加え、近年は企業のホームページなどを踏み台にして閲覧者を不正サイトに誘導する「ドライブバイダウンロード攻撃」など、より悪質な手口も登場しています。
不正サイトに誘導され、不正ソフトをダウンロードしたPCが、前述のDDoS攻撃の拠点として利用されることも少なくありません。

SQLインジェクションによる情報漏えい

最後が、ショッピングサイトなどと連携したデータベースからの顧客情報漏えいリスクです。ログインページのユーザーID入力欄などにコマンドと呼ばれるコンピュータへの命令を含む文字列を入力することでデータベースにアクセスする攻撃手法は、SQLインジェクションと呼ばれます。 SQLインジェクションによって大量のクレジットカード情報や個人情報が漏えいした事例は数多くあります。他のリスクと違い、企業の評価の失墜に留まらないだけに、そのダメージは甚大です。

ホワイトカラーの仕事はまだまだムダが多い？

これらのリスクへの対策としてまず挙げられるのは、セキュリティ更新プログラムに随時対応し、脆弱性を生まないことです。またネットワークトラフィックを監視し、攻撃を仕掛けていると思われるIPからのアクセスをブロックする仕組みの導入も効果的です。
SQLインジェクション対策は、不正な入力値による処理をブロックする仕組みの導入などの対策が効果的です。