Bizコンパス

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは
2020.02.28

サイバー攻撃に企業はどう準備すべきか第4回

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

著者 サイバーディフェンス研究所 津野田 茂明

悪意ある攻撃者は●●と●●を狙っている

 Webサイト改ざんの手口は、大きく分けて2つに分類される。1つ目は、Webサイトの「弱点」を狙って、改ざんを試みる手口である。

 ここでいうWebサイトの「弱点」とは、以下のI~IIIのような問題点を指す。

I.セキュリティ上、非推奨となっている設定が有効化されている
II.最新のセキュリティパッチが適用されていない問題(既に公開されている既知脆弱性を利用する)
III.カスタマイズした機能に内在する不具合(システムの挙動を詳しく解析し、内在する未知の脆弱性を利用する)

 特にIとIIは、設定内容や利用しているソフトウェアのバージョンなど前提条件さえ満たせば攻撃に成功することから、攻撃者にとっても利用価値が高いと言える。冒頭に挙げたクレジットカード情報が流出した事例においても、これらの2つの問題を利用された可能性が報告されている。

 2つ目の代表的な手口は、「第三者が推測可能である認証情報」を利用して、認証を突破し、システムに備わっている機能を使って、Webサイトの改ざんを行う手口である。

 ここでいう「第三者が推測可能である認証情報」とは、たとえば、システムに初期設定されているままの認証情報や、辞書に掲載されている・桁数が短い・社名やシステム名から推測可能…といった強度が低い認証情報を指す。さらに、社外を含めた他システムや、他ユーザと使いまわしを行っている認証情報も含まれる。

 筆者の業務で行うペネトレーションテストにおいても、強度の低い認証情報や認証情報の使い回しを発端とする疑似侵入の成功事例は多い。

SHARE

関連記事

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

2020.04.08

DXを加速させるITシステムの運用改革第21回

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ