1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 増加するウェブアプリケーションへの攻撃

増加するウェブアプリケーションへの攻撃


7月上旬、以下のようなニュースを伝える記事が、新聞やネットに掲載された。
・クラブツーリズムの不正アクセス事件、容疑者が逮捕--価格.com事件にも関与か(ZDNet Japan)

 
旅行会社のクラブツーリズムのウェブサーバが3月に不正アクセスを受け、同社の保有する個人情報が流出した可能性がある事件で、警視庁ハイテク犯罪対策総合センターと新宿警察署が容疑者を逮捕したことが明らかになった。この容疑者はカカクコムや人材派遣会社のアデコ、静岡新聞社などのサイトにも不正にアクセスした疑いが持たれている。


 逮捕されたのは東京都豊島区在住の中国籍男性、ユー・ファー容疑者(27)。逮捕日は6月22日となっている。

記事を総合すると、容疑者は複数のサイトから、「SQLインジェクション」と呼ばれる手口で顧客情報を盗んだことが明らかになった。一連の事件で最も記憶に鮮明なのが、5/11(水)、サイトへの不正侵入攻撃を受け、10日間のサーバー停止に追い込まれた「カカクコム」の事例である。


<参照記事=カカクコム事件関連>
・価格.comが不正侵入で閉鎖、高度技術の組織犯に狙われる(@IT)
・カカクコムがサイト再開、依然残る多くの疑問(@IT)
・「価格.com」事件をまとめる(IT Pro)

■専門知識がなくても可能
「SQLインジェクション」とは、SQLを使って構築されたデータベースに対し、SQLで書いた命令文(コマンド)を使って不正にデータベースにアクセスする攻撃手口だ。そのようなSQLで書かれたコマンドを素通りさせてしまう欠陥そのものを指すこともある。多くのサイトでは、SQLで構築されたデータベースに顧客や商品の情報を格納している。条件を入力して商品を価格順に表示させたり、ユーザーIDとパスワードを使ったログイン処理などは、SQLの命令文を通じて行われている。

これを悪用し、例えば、サイトのURLなどにSQL文を挿入(=injection)することで、通常はアクセスできないデータベースのテーブルを出力したり、削除したりするのがSQLインジェクションの例だ。

さらに厄介なのが、SQLの専門的な知識がなくても、こうした攻撃を簡単に操作できるソフトが数多く出回っている点である。


<参照記事>
・SQLインジェクションに気をつけろ(IT Pro)


■具体的な対策は?
上述した「SQLインジェクション」など、最近の不正侵入の手口は、インターネットサーバー上にあり、ブラウザで操作可能な「ウェブアプリケーション」に対する攻撃が増えている点が特色だ。ウェブアプリは、一般的なパッケージソフトとは異なり、セットアップ作業やバージョンアップに伴う更新作業など、わずらわしい作業は一切必要ない半面、各サイトが独自に開発しているため、作成者の単純ミスが起きる可能性があり、セキュリティホールになりやすい。

こうしたウェブアプリの欠陥対策として、独立行政法人情報処理推進機構(IPA)は6/23(木)、Webサイトに不正アクセスされないための緊急チェック・ポイントを発表した。「公開すべきでないファイルを公開していないか」「ユーザーからの入力値をチェックして無害化しているか」「ログを記録しているか」などの14項目だ。

<参照記事>
・IPAがWebサイトのセキュリティ・ホールをふさぐための緊急チェック・ポイントを発表(IT Pro)

また、企業側が知らず知らずのうちに、情報を抜き取られているというケースもある。こうしたことへの対策としては、SIベンダーなどからリリースされている、ウェブサイトの脆弱性診断サービスを利用することも一法であろう。

最近の悪意のハッキング=クラッキングは、深刻な金銭的損害を伴うケースが増えてきている。暗証番号や口座番号といった個人情報の売買や、株価に影響を与えることを目的に、企業に何らかのダメージを与えるような、サイバーテロの可能性などである。

企業は、多様化する攻撃に対し、あらゆる被害を想定した対策が必要になってくるといえる。

関連キーワード:

ウェブアプリケーション

サイバーテロ

  • 【オープン記念】IT駄洒落キャンペーン
  • カテゴリートップへ
  • デジタルフォレンジックとは