2019/07/16
企業よ、サイバーリスクに備えよ
中島 豊
1998年にアライドテレシスに入社。ネットワークスイッチの開発経験を経て、マーケティング部門に異動。VoIP、データセンターネットワーク機器企画を行った後、企業向けSDNの新企画(Secure Enterpise SDN)を立ち上げ、現在のサイバーセキュリティ戦略室で邁進中。
企業の顔になるホームページ、製品を販売するためのEC(Electronic Commerce)サイト、そしてみなさんが情報をチェックするSNSなどのビジネスは、今やWebサイトなしには成り立ちません。
しかし今、その企業のWebサイトが狙われています。特に来年2020年はオリンピックの年で、チケット販売、関連商品などをWebから購入するユーザーも急激に増加します。攻撃者は、その時に必要となる私たちの個人情報などの引き抜きを行うため、Webサイトの改ざんなどの攻撃を仕掛ける活動を行っています。
攻撃者は脆弱性のあるWebサイトを見つけ出し、そしてさまざまな攻撃手法を用いてWebサイトの改ざんを試みます。では、最初に代表的なWebサイトに対する攻撃手法に関して解説していきましょう。よく耳にする有名なWebサイトに関する攻撃手法は以下の2つです。
(1)クロスサイトスクリプティング
(2)SQLインジェクション
そのほかにも、Webプラットフォームの脆弱性をついた攻撃なども存在します。
1.Web改ざんの例
1)クロスサイトスクリプティング
まず、この攻撃を仕掛けることができるWebサイトのページはテキスト文などを入力することができ、そのWebサイトの入力制限などに脆弱性があるものが当てはまります。下記に簡単な流れを記載しました。イメージがつかめるかと思います。
よくある例として、入力制限のかかっていない掲示板などにスクリプトを埋め込む手法があげられます。
(1)攻撃者は自分のWebサイトに遷移するスクリプト文を掲示板に書き込みます。
(2)この掲示板に攻撃者のWebサイトに飛ぶURLが記載されます。
(3)被害者となるユーザーが本掲示板のURLをクリックします。
(4)攻撃者のWebサイトに移動し、マルウェアのダウンロードや個人情報の記載などのアクションをします。
(5)攻撃者が被害者の情報を取得します。
2)SQLインジェクション
この攻撃はデータベースと連携されたWebサイトに対する攻撃になります。攻撃の入り口となるのは、URL入力箇所や会員サイトのユーザー名、パスワード画面などです。こちらも下記に攻撃イメージ例を記載しました。
(1)攻撃者は攻撃対象のログイン画面のユーザー名やパスワードなどにSQL文を含んだ文字列を書き込みます。
(2)SQL文が書き込まれたWebサイトは脆弱性により、入力されたテキストをそのまま使い、データベースに対して予期せぬ実行制御文をSQLデータベースに送ってしまいます。
(3)データベースは受け取った制御文をそのまま実行します。この例では、ユーザー名とパスワードが出力されてしまいます。
(4)攻撃者は取得したユーザー名とパスワードを使って、その会員サイトに入ることができます。
上記2つの例の原因は攻撃対象Webサイトが持つ脆弱性です。入力フォームに入力制限がされていないという脆弱性をつかれ、スクリプト文やSQL文が書き込まれてしまいました。この事例は事前にこの脆弱性の内容の存在が分かっていれば、対策が可能であり、未然に防ぐことができます。
企業よ、サイバーリスクに備えよの他の記事
おすすめ記事
トヨタが変えた避難所の物資物流ラストワンマイルはこうして解消した!
能登半島地震では、発災直後から国のプッシュ型による物資支援が開始された。しかし、物資が届いても、その仕分け作業や避難所への発送作業で混乱が生じ、被災者に物資が届くまで時間を要した自治体もある。いわゆる「ラストワンマイル問題」である。こうした中、最大震度7を記録した志賀町では、トヨタ自動車の支援により、避難所への物資支援体制が一気に改善された。トヨタ自動車から現場に投入された人材はわずか5人。日頃から工場などで行っている生産活動の効率化の仕組みを取り入れたことで、物資で溢れかえっていた配送拠点が一変した。
2025/02/22
現場対応を起点に従業員の自主性促すBCP
神戸から京都まで、2府1県で主要都市を結ぶ路線バスを運行する阪急バス。阪神・淡路大震災では、兵庫県芦屋市にある芦屋浜営業所で液状化が発生し、建物や車両も被害を受けた。路面状況が悪化している中、迂回しながら神戸市と西宮市を結ぶ路線を6日後の23日から再開。鉄道網が寸断し、地上輸送を担える交通機関はバスだけだった。それから30年を経て、運転手が自立した対応ができるように努めている。
2025/02/20
能登半島地震の対応を振り返る~機能したことは何か、課題はどこにあったのか?~
地震で崩落した山の斜面(2024年1月 穴水町)能登半島地震の発生から1年、被災した自治体では、一連の災害対応の検証作業が始まっている。今回、石川県で災害対応の中核を担った飯田重則危機管理監に、改めて発災当初の判断や組織運営の実態を振り返ってもらった。
2025/02/20
2度の大震災を乗り越えて生まれた防災文化
「ダンロップ」ブランドでタイヤ製造を手がける住友ゴム工業の本社と神戸工場は、兵庫県南部地震で経験のない揺れに襲われた。勤務中だった150人の従業員は全員無事に避難できたが、神戸工場が閉鎖に追い込まれる壊滅的な被害を受けた。30年の節目にあたる今年1月23日、同社は5年ぶりに阪神・淡路大震災の関連社内イベントを開催。次世代に経験と教訓を伝えた。
2025/02/19
阪神・淡路大震災30年「いま」に寄り添う <西宮市>
西宮震災記念碑公園では、犠牲者追悼之碑を前に手を合わせる人たちが続いていた。ときおり吹き付ける風と小雨の合間に青空が顔をのぞかせる寒空であっても、名前の刻まれた銘板を訪ねる人は、途切れることはなかった。
2025/02/19
阪神・淡路大震災30年語り継ぐ あの日
阪神・淡路大震災で、神戸市に次ぐ甚大な被害が発生した西宮市。1146人が亡くなり、6386人が負傷。6万棟以上の家屋が倒壊した。現在、兵庫県消防設備保守協会で事務局次長を務める長畑武司氏は、西宮市消防局に務め北夙川消防分署で小隊長として消火活動や救助活動に奔走したひとり。当時の経験と自衛消防組織に求めるものを聞いた。
2025/02/19
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/02/18
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方