ウェブの在り方は多様化し、誰でもブログなどのサイトを解説して情報を発信し収益を得れるように
なりました。

これをweb2.0と呼びます。

しかし、Webアプリケーションやサーバーの脆弱性を狙った攻撃が巧妙化し、セキュリティ対策の必要性はますます高まっています。 そのため、Webアプリケーションを利用したサービス提供をしているのなら、最新のWeb攻撃の動向や事例は、知っておくべきでしょう。

そこで本記事では【覚えておかないと後悔する】ウェブサーバーの脆弱性9選紹介します。

ポイント:本記事は1万5千字を超えるとっても長いコンテンツのため
適宜設置してあるジャンプリンクでお好きなところへ飛んでお読みください。

目次

クロスサイトスクリプティング(XSS攻撃)

クロスサイトスクリプティング(XSS攻撃)

「クロスサイトスクリプティング」とは、悪意のあるスクリプトが挿入されたWebサイト(ページ)を
直接的なターゲットとしているのではなく、サイト利用者・閲覧者をターゲットとした攻撃のことです。

クロスサイトリクエストフォージェリ(CSRF)との違い

「クロスサイトリクエストフォージェリ(CSRF)」攻撃は、クロスサイトスクリプティングと同様にWebアプリケーションに存在する脆弱性を利用した攻撃方法のことです。

ただし

こちらは攻撃の手段として正規ユーザーを装ってサーバーに偽のリクエストを送信し、意図しない行動を取らせる攻撃です。ログイン中のSNSに勝手に投稿される、登録したショッピングサイトで勝手に高額な商品を購入される、などの被害を受ける可能性があります。

SQLインジェクションとの違い

「SQLインジェクション」攻撃は、
クロスサイトスクリプティングと同様にWebアプリケーションの脆弱性を標的とした攻撃です。

ただし、こちらは攻撃の手段としてデータベースへの命令文である「SQL」を使用し、
脆弱性を突いてアプリケーションが想定しない不正な処理を実行させるものです。

攻撃を受けたデータベースは、結果としてデータの消去や改ざん、情報漏えいなどの被害を受ける可能性があります。

仕組み

例えば、攻撃者が悪意のあるスクリプトを埋め込み、それを利用者が閲覧し実行してしまった場合、
利用者は偽サイトに移動(クロスサイト)してしまいます。

よくある手口は、ウェブサイト上のコメント欄や、投稿フォームを悪用したXSSです。

クロスサイトスクリプティングは、Webアプリケーションへ主に発生するWeb攻撃(脆弱性)の1つとされており、それに気付かずに情報を入力してしまい、フィッシング詐欺やセッションハイジャックに遭う危険性があります。

有効な対策

XSSには以下の対策が有効的です。

  • コンテンツセキュリティポリシー
  • WAF(ウェブアプリケーションファイアウォール)
  • コメント欄閉鎖・バリデーションチェック

詳しい解説は以下で行います。

サービス運用妨害(DoS)

「サービス運用妨害」とは、処理に時間のかかるアルゴリズムを
採用しているなどの脆弱性を狙ったWeb攻撃です。

一般的には、Webアプリケーションへ主に発生するWeb攻撃に起因することから、
DoS攻撃とも呼ばれています。

Distributed Denial of Service attackと言う呼び名から
「サービス拒否攻撃」とも呼ばれています。

仕組み

例えば、Webサーバーに対して通常の範囲を超えたアクセスメール送信などを行い、
メモリやCPUを全稼働させて処理速度を低下させます。

 また最近、DoS攻撃の進化版でもあるDDoS攻撃(Distributed Denial of Service attack)
(不正な方法で乗っ取った複数のマシンを使ったDoS攻撃)の攻撃・被害件数も増加傾向がみられます。

有名な攻撃手法に田代砲と言うものがあります。

歴史

MafiaBoy:2000年2月

2000年2月にカナダ人の15歳の少年が6日間にわたってボットネットでYahoo!やCNNやAmazon.comなどの人気が非常に高いサイトに対してDDoS攻撃を行い、ターゲットにしたサイトをサービス不能状態に陥らせ、自身の行動をインターネット上のIRCチャットルームで吹聴し、逮捕された。この事件は国際的に大きく取り上げられた。

ソニーのプレイステーションネットワーク:2011年4月

2011年4月、アノニマスはソニーのインターネット配信サービス「PlayStation Network
のサーバに対してもDDoS攻撃を放った。

GitHub:2018年3月

GitHub2018年3月1日、GitHubに対して、最高1.35テラビット毎秒の断続的な攻撃が行われたが、AkamaiのDDoS軽減サービスを使用することによって、無効化することに成功した。

有効な対策

サービス運用妨害(DoS)には以下の対策が有効的です。

  • ファイアーウォールを適切に活用する
  • DMZ(非武装中立地帯)を活用する
  • ネットワークから切り離す

ちなみに、ハッカー集団以外のド素人がDdosやDoSをすると
電子計算機損壊等業務妨害罪に問われます。

DMZの詳しい解説はこちらをご覧ください。

メール不正中継

メール不正中継

メールサーバ(SMTP)はメールが送られてきた際、自身のドメイン宛てのメールではなかった場合、
別のメールサーバに転送します。

そして、この機能を利用して攻撃者が他人のサーバを使い、
送信元の身元が分からない大量の迷惑メールを送信する攻撃のことを「メール不正中継」と呼びます。

メール不正中継のポイント

Webアプリケーションへ発生するWeb攻撃のポイントとしては、主に下記の2つがあります。

  • 使用している電子メール配送プログラムに、メール中継に関する制限を設定していない
  • そもそも設定がないなどの脆弱性がある

これらの脆弱性により、メール不正中継などのサイバー攻撃を受けてしまう危険性があります。

また、攻撃者から大量の迷惑メールが送られてくることで、サーバが本来必要のないメール配信処理をすることになり、提供しているWebアプリケーションを利用したサービスに影響が出ます。

有効な対策

メール不正中継は以下の方法で対策できる。

  • OP25B(25番ポート着信制限)を設ける(ISP向け)
  • 中継回数の制限をする

OP25B(25番ポート着信制限)についてはこちらの記事で解説します。

バッファオーバーフロー

バッファオーバーフロー

「バッファオーバーフロー」とは、データの受け取りや保管のために用意された領域(バッファ)に想定以上の長さのデータを書き込んでしまうが原因で発生する、WebアプリケーションにおけるWeb攻撃のことです。

溢れたデータが隣接する領域を不正に書き換えてしまったり、
それによって動作異常が発生したりします。

DoS攻撃との違いは?

「DoS攻撃」は、Webサイトやサーバーに許容量を超えたリクエストやデータを送り付け、アクセス集中によりWebサイトを繋がりにくい状態にしたり、サーバーをダウンさせたりする攻撃です。

どちらにも「許容量を超えた」というキーワードが入っていますが、バッファオーバーフローはサーバーの脆弱性を突き、大量のデータに含んだ悪意のあるコードの実行を狙うのに対し、DoS攻撃は外部から過剰に負荷をかけサービス停止を狙うという違いがあります。

仕組み

 バッファオーパーフローは、典型的なWebアプリケーションの脆弱性の1つで、攻撃者が外部から故意に想定よりも膨大なデータを送り込んでプログラムを異常終了させたり、攻撃用のコードを送り込んで実行させたりするということです。

バッファオーバーフロー攻撃による被害事例

バッファオーバーフロー攻撃により、どのような被害が発生したのでしょうか。
いくつか具体例を見てみましょう。

官公庁のWebサイト改ざん

2000年1月、バッファオーバーフロー攻撃により管理権限が乗っ取られ、科学技術庁のWebサイトが改ざんされました。その後も総務省、運輸省などのWebサイトが次々に改ざんされ、一連の事件は「中央官庁Webページ集中改ざん事件」と呼ばれました。原因はWebサーバーへのパッチの適用をおろそかにするなど、ずさんなサーバー管理にあったと言えます。

脆弱性を利用した不正アクセス

2004年5月、BSDやLinuxなどのOSで使用されているバージョン管理システムCVS(Concurrent Versions System)にバッファオーバーフローを引き起こす脆弱性が発見され、国内外で多くのサーバーが被害を受けました。国内でも日本で最古のMozillaユーザーコミュニティ「もじら組」、日本語全文検索システムを提供しているサイトなどが不正アクセスを受け、サービスを停止するなどの対応を余儀なくされました。

Facebookのサービス停止

2015年1月、FacebookがDoS攻撃を通じたバッファオーバーフロー攻撃を受け、30分以上サービスを停止する事態となりました。DoS攻撃はアメリカや中国などの国から行われていたそうで、Facebook側は広告配信収入などで巨額の損害を受けたと言われています。後にハッカー集団「Lizard Squad」が犯行声明を出しました。

有効な対策

バッファオーバーフローは以下の方法で対策できます。

  • PHPやJavaなどの直接メモリを操作できない言語活用する(開発者側)
  • OSやアプリケーション・ドライバーのバージョンを常に最新を保つ(利用者側)

強制ブラウズ

強制ブラウズ

利用しているWebアプリケーションに、URLへのアクセスを適切に制御していない脆弱性がある場合、「強制ブラウズ」という攻撃に遭遇する危険性があります。

強制ブラウズとは、Webページ上からリンクを辿るのではなく、アドレスバーからURLを直接入力して本来システム側では公開していないはずのディレクトリやファイルなどにアクセスを試みること、つまり、強制的にブラウザに表示させられてしまいます。

  • ディレクトリの配置ミス
  • ファイルの配置ミス
  • Webサーバの設定ミス

Webアプリケーションにおける矯正ブラウズの脆弱性発生の原因としては、主に、上記3つが挙げられます

仕組み

Webサイトにアクセスしたユーザーが、自分が望まないページに自動的に転送されたり、意図しない操作を強制されたりすることを指します。

一般的にはクロスサイトスクリプティング(XSS)やクリックジャッキングといった攻撃手法によって実現されます。

強制ブラウズによる被害の例

強制ブラウズによって被害を受けた例としては、以下のようなものがあります。

  • – ユーザーが自分が望まないサイトに誘導され、
    不正な情報やマルウェアをダウンロードさせられたり、詐欺サイトに誘導されたりする。
  • – ユーザーが自分が望まない操作をされ、
    意図しない商品の購入や、自分のアカウントを不正に乗っ取られたりする。
  • – ユーザーが個人情報を入力するように強制され、その情報が不正に取得されたり悪用されたりする。

有効な対策

強制ブラウズを防ぐためには、以下のような方法があります。

  • 入力フォームに適切なエスケープやバリデーションチェック(検証)を行う
  • CSP(コンテンツセキュリティーポリシー)を活用する
  • ブラウザーの「Do Not Track」機能を活用する

以上の方法を実践することによって、強制ブラウズから自分やユーザーを守ることができます。

ディレクトリトラバーサル

ディレクトリトラバーサル

「ディレクトリトラバーサル」とは、「../」のような文字列を使ってサーバのディレクトリ・パスを遡る攻撃のことです。Webサーバに置いたままにしている非公開ファイルにアクセスし、そこに保存されている情報を盗まれる危険性があります。

仕組み

Webアプリケーションを利用して目的のデータを表示させるようなサービスを提供しているサイトに入力される可能性のあるデータに対する考慮不足があった場合、ディレクトリトラバーサルの被害に遭遇する危険性が伴います。

ディレクトリトラバーサルの影響

ディレクトリトラバーサル攻撃の被害に遭った場合、以下3つの影響が生じる可能性があります。

  1. 情報漏洩・個人情報流出
  2. ファイルの改ざん
  3. アカウントやシステムの不正アクセス

詳しく見て行こう。

1.情報漏洩・個人情報流出

非公開ファイルへアクセスされると、無関係な第三者に自社の機密情報が知られてしまいます。
顧客の個人情報が漏えいすれば、自社だけでなくユーザー1人ひとりにも及ぶでしょう。

また、自社の独自技術といった重要データが流出する恐れもあります。
いずれにせよ自社の信頼が失われるため、事業の存続にも悪影響が生じるでしょう。

2.ファイルの改ざん

ディレクトリトラバーサルの被害として、非公開ファイルの内容が改ざんされるパターンも考えられます。あるいは、重要な機密情報が破壊され、事業に大きなダメージを受けるかもしれません。

また、Webサイトの内容を不正に変更し、マルウェアを埋め込むケースもあります。Webサイトの訪問者に被害が発生するため、自社の信用が大きく低下します。

3.アカウントやシステムの不正アクセス

IDやパスワードなどのログイン情報が盗まれた場合、
アカウントに不正アクセスされるかもしれません。

たとえば、社員のアカウントが乗っ取られると、
社内システムに侵入されて重要情報を盗み見られる可能性があります。

有効な対策

ディレクトリトラバーサル攻撃に遭うと、情報漏えいやデータ改ざんといった被害が生じます。被害を未然に防ぐためには、以下の対策を実施しましょう。

  1. IPAの対策を徹底する
  2. ファイルへのアクセス権限を設定する
  3. IDS / IPSで不正アクセスを検知する
  4. WAFを導入する

順番に説明します。

1.IPAの対策を徹底する

IPA(情報処理推進機構)は、ディレクトリトラバーサル攻撃の根本的な解決策を2つ明示しています。

  • 外部からのパラメータ入力によるファイル指定を拒否する
  • 固定ディレクトリによるファイル参照を設定する

外部からのパラメータ入力によってファイルを参照できる仕様は、危険度が高いと言えます。攻撃者によりパラメータが変更され、非公開ファイルに直接アクセスされてしまうためです。また、ファイルの参照時は固定ディレクトリの指定を必須とし、相対パスによる参照を防ぎましょう。

参照
安全なウェブサイトの作り方 – 1.3 パス名パラメータの未チェック
/ディレクトリ・トラバーサル/IPA

2.ファイルへのアクセス権限を設定する

ファイルへのアクセス権限の設定も効果的です。万一、ディレクトリトラバーサルによって攻撃者がファイルに辿り着いたとしても、権限がなければ閲覧できません。アカウントごとに閲覧できるファイルの範囲を決め、アクセス権限を設定しましょう。

3.IDS / IPSで不正アクセスを検知する

「IDS」や「IPS」を導入すると、Webサーバーとインターネットの境界を常時監視できます。IDSは不正侵入を検知し、IPSは不正進入の検知と遮断を行います。​​IDSやIPSがあれば、ディレクトリトラバーサルを使った第三者による侵入の検知および遮断が可能です。

4.WAFを導入する

WAFとは、Webアプリケーションをサイバー攻撃から保護するシステムです。Webサーバーの手前に設置し、インターネットを経由したさまざまな攻撃を防ぎます。Webアプリケーションに特化したファイアウォールであり、ディレクトリトラバーサルを含む不審な通信を遮断します。

コマンドインジェクション

コマンドインジェクション

「コマンドインジェクション」とは、コマンド(コンピュータの利用者がOSのシェルに与える文字列による命令のこと)を利用し、Webアプリケーションの脆弱性を悪用する攻撃です。WebアプリケーションのコードにOSコマンドの呼び出し処理があり、ユーザーが入力したデータがコマンドの一部分を構成している場合に発生します。

コマンドインジェクションの影響

  • 攻撃者がWebサーバ内に保存されているファイルを読み出す
  • システムに関係する操作、プログラムを不正に実行することが可能
  • 情報漏洩だけでなく、サーバー自体が乗っ取られてしまう危険性がある

コマンドインジェクションによって、上記のような危険性が伴います。

OSコマンドインジェクションの被害事例

OSコマンドインジェクション攻撃による被害は、過去に複数件報告されています。本項では、代表的な被害事例について、以下の3つをそれぞれ解説していきます。

学術情報提供サービスのホームページ改ざん

2021年11月、学術情報流通事業を展開するサンメディアは不正アクセスを受け、ホームページの改ざんがあったことを発表しました。

サイト運営ベンダーが同社ホームページの異常を確認し、その後一次的な原因を特定した上で遮断しています。

原因は「MovableType」の脆弱性を利用したOSコマンドインジェクションによるもので、サイト運営ベンダーが早期の段階でアクセスをブロックしたため、被害は最小限の抑えられました。

ラジオ聴取者の約64万件の個人情報が流出

2016年4月、J-WAVEは同社のサーバーがOSコマンドインジェクション攻撃を受け、ラジオ聴取者の約64万件の個人情報が流出した可能性があると発表しました。

原因は、ブログプログラムのコマンドインジェクション脆弱性を悪用した不正アクセスだと判明しています。

同社は原因となったソフトウェアを削除するとともに、その他のシステムについても安全性を確認し、対策を講じました。

日本テレビの応募者情報43万件が流出

2016年4月、日本テレビは応募フォームなどから投稿された情報約43万件が流出した可能性があると報告しました。

流出した可能性がある約43万件の情報には、氏名・住所・電話番号・メールアドレスなどが含まれます。

ログ解析の結果、原因はソフトウェアの脆弱性を突いたOSコマンドインジェクションだと判明しました。

同社は当該ソフトウェアを削除するとともに、データを安全な保存場所に移動させるなど、新たな情報流出を防ぐための対策を行っています。

OSコマンドインジェクションを防ぐための対策

OSコマンドインジェクションの攻撃を防ぐためには、複数のセキュリティ対策を組み合わせることが重要です。

以下、OSコマンドインジェクションに効果的なセキュリティ対策を5つ紹介します。

  1. OSコマンド呼び出しの使用を禁止する
  2. シェル呼び出し機能のある関数を使用しない
  3. WAFを導入する
  4. セキュリティ対策ソフトを利用する
  5. 定期的に脆弱性診断を実施する

これらの方法は、システムに対する不正なアクセスや操作を防ぐための重要な防御策となります。

OSコマンド呼び出しの使用を禁止する

可能な限りOSコマンド呼び出しを避け、アプリケーションレベルでの処理に限定することが推奨されます。

安全なAPIの利用は、システムへの不正なコマンド実行リスクを軽減できる方法の1つです。

特にアプリケーションが直接OSコマンドを実行する必要がない場合、その機能を完全に排除することがセキュリティを高める上で最も効果的です。

この設定を実行すれば、原理的にOSコマンドインジェクションの攻撃を受けるリスクはありません。

シェル呼び出し機能のある関数を使用しない

シェル呼び出しを可能にする関数の使用を避け、代替手段を検討することも効果的な対策です。

シェル呼び出し機能のある関数はOSコマンドインジェクション攻撃に利用されやすいため、セキュリティの観点から使用を控え、プログラムの安全性を向上させることが重要です。

どうしてもOSコマンド呼び出しを行いたい場合は、シェルの呼び出し機能がある関数以外のものを実装するようにしましょう。

これにより、Webアプリケーションの脆弱性を減少させ、セキュリティを強化することができます。

WAFを導入する

WAFの導入は、OSコマンドインジェクションを含む多くのサイバー攻撃から保護する方法です。

WAFとは「Web Application Firewall」の略称で、Webアプリケーションを保護するファイアウォールのことです。

▼WAFの主な機能

  • 通信監視・制御機能
  • Cookie保護機能
  • IPアドレス拒否機能
  • ログ・レポート機能

WAFは不正な入力や攻撃試行を遮断し、攻撃パターンを事前に定義することでシステムへの不正アクセスを防ぎます。

このシステムの導入により、悪意のあるリクエストがサーバーに到達する前にフィルタリングされ、Webアプリケーションの安全性が大幅に向上します。

セキュリティ対策ソフトを利用する

セキュリティ対策ソフトを利用することで、システムを不正アクセスから効果的に保護できます。

多くの対策ソフトは、リアルタイム監視により攻撃を早期に検出し、迅速な対処を可能にします。

OSコマンドインジェクションのような複雑な攻撃に対しても防御できる可能性が高く、対策ソフトの導入は包括的なセキュリティ戦略の一環として非常に重要です。

定期的に脆弱性診断を実施する

強固なセキュリティ環境を維持したいなら、定期的に脆弱性診断を実施しましょう。

定期的に脆弱性診断を行うことで、潜在的な脆弱性を早期に発見し修正できます。これにより、外部からの攻撃に対する耐性を高めることが可能です。

脆弱性診断は、診断ベンダーなど第三者に依頼することも視野に入れましょう。

自社で脆弱性診断を実施するよりも、より客観的にセキュリティリスクを評価でき、セキュリティ環境に合った対策を見つけやすくなります。

SQLインジェクション

SQLインジェクション

「SQLインジェクション」とは、データベース言語(SQL)を利用して、Webアプリケーションの脆弱性を悪用する攻撃のことをいいます。

コマンドインジェクションと同様に、攻撃者がWebサーバ内に保存されているファイルを読み出したり、システムに関係する操作、プログラムを不正に実行されたりします。

SQLインジェクションによるリスクの種類

SQLインジェクションの脆弱性が悪用されると、外部からデータベースを操作され、その結果、データベースに記録されたデータの閲覧や盗難、変更、消去などを行われる可能性があります。

情報漏えい

SQLインジェクションの被害として代表的なものが、情報漏えいです。企業が一般公開していない機密情報や個人情報を盗み出されてしまえば情報漏えい事故になりますし、クレジットカード情報を蓄積している場合は、クレジットカード番号や名義も漏えいすることがあります。盗み出された情報をさらに悪用される二次被害も考えられます。また、データを削除されてしまうと、ビジネスを継続できなくなってしまう恐れさえあるのです。

Webサイトの改ざん

SQLインジェクション攻撃の被害で最近多くなっているものが、企業や政治団体などのWebサイト改ざんです。攻撃者によってWebサイトの内容が書き換えられたり削除されたりする被害が増えており、昨今はWebサイトにコンピュータウイルスが埋め込まれ閲覧者がコンピュータウイルスに感染するという被害も増加しています。

SQLインジェクションの実例

本記事の執筆にあたって、ネット上で「SQLインジェクション 被害」で検索して過去の攻撃事例を調べてみました。被害を受けたSQLの実物を公表している事例はさすがにありませんでしたが、多数ヒットします。ざっと上げてみましょう。

2016年7月15日 Ubuntu
https://ubuntu.com/blog/notice-of-security-breach-on-ubuntu-forums

2020年4月16日 光言社
https://www.kogensha.jp/information/detail.php?id=1612

ここまで本記事を読んでみて、SQLインジェクションは本質的には単純なものであることがお分かりでしょう。しかし、前者はLinuxディストリビューションの中でも特に有力なUbuntuの開発元です。そんなすごい技術を保持した団体でも、被害に遭うのです。後者にいたってはさほど前の話ではありません。

SQLインジェクションの脅威は、未だに健在なのです。

SQLインジェクションの5つの対策

では、SQLインジェクションに対してどのような対策が有効なのでしょうか。

  1. 入力値を制限する

検索ボックスやフォームなどに入力する文字列が英数字などに限定されている場合には、入力された文字列が仕様に沿ったものかをWebアプリケーション側で判定する「バリデーション処理」を実装するという対策が有効です。

規定外の文字が入力されていた場合には再入力を促す、などの処理を実装することで予期しないスクリプトの実行を防ぐことができます。

  1. 入力値をいったん変数に格納する

入力された文字列をそのままSQL文として利用せず、いったん変数に格納する方法も有効です。

例えばJavaなどでは、あらかじめ「プリペアドステートメント」と呼ばれるSQL文を用意しておき、その一部を「プレースホルダ」と呼ばれる予約場所に設定しておきます。その後、プレースホルダに入力データを割り当てる(バインドする)ことによりスクリプトの実行を防ぐことができます。

  1. エスケープ処理、サニタイジングを行う

エスケープ処理、サニタイジングは、不正なSQL文の注入に使用される恐れのある危険な文字を無害な文字に置き換える処理を指します。

例えばシングルクォート「'」をダブルクオート「''」に置き換えます。
単純に文字を置換する処理を実装しても良いですが、PHPでは「htmlentities()」、Railsでは「sanitize_sql_*」、Perlでは「DBI quote()」のようにエスケープ処理用の関数が用意されている言語もあります。

  1. 常に最新の環境を保つ

セキュリティの基本ですが、すべての動作環境を最新に保つことが重要です。
例えばサイトやブログの作成に使われるWordPressは、オープンソースのため無料で利用でき、またさまざまなプラグインが利用可能であることから人気ですが、過去にSQLに対する脆弱性のあるプラグインが報告されました。ツールやプラグインなどは常に最新の状態に保つよう留意しましょう。

  1. セキュリティソフトWAFを導入する

最も手軽で効果の高い方法は「WAF(Web Application Firewall)」を導入することです。WAFを導入すれば、従来のファイアウォールでは防ぐことが難しかった、Webアプリケーション脆弱性を狙った攻撃を防ぐことができます。

また、近年ではクラウド型のサービスや他のセキュリティ対策を併せて提供するサービスも登場しており、常に最新のセキュリティを維持できるというメリットもあります。

URLパラメータの改ざん

URLパラメータの改ざん

URLパラメータとは、URLにパラメータというプログラムを付け加えたシステムのことです。URL末尾に「?」が付け加えられ、「?」以降の文字列がパラメータとなります。

URLパラメータの改ざんの影響

 このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんして、不正アクセスを行う攻撃が「URLパラメータの改ざん」の手口で、Webサイトが改ざんされたり、Webサーバが誤動作するようにされてしまいます。

Webサイト改ざんによる被害事例

Webサイトの改ざんは、今もなおさまざまな場所で起こっている。実際に起きた事例をいくつか紹介する。

大手交通機関

2009年12月、大手交通機関のWebサイトのトップページやその他一部のページが悪意ある第三者の手によって改ざんされた。すぐに対策がなされたが、一部のWebページでは約2週間にわたり改ざんされた状態が続いていた。この時に使用されたのが「Gumblar(ガンブラー)」という攻撃手法で、Webページを閲覧すると別のWebページへ転送され、マルウェア感染を引き起こすリスクがあったとされている。2009年から2010年にかけて、この「Gumblar」によるWeb改ざんの被害が数多く報告されている。

大手自動車メーカー

2014年8月、大手自動車メーカーのWebサイトの一部が改ざんされ、閲覧したユーザーが外部サイトへ誘導されるように変更されていた。被害を受けたのは同社の「下取り参考価格シミュレーション」サイトである。Webサイトへアクセスすると外部サイトへリダイレクト(転送)され、マルウェアがダウンロードされる危険性があった。

地方私鉄

2020年8月、某私鉄のWebサイトにある新型コロナウイルス感染症の注意喚起ページが改ざんされるという事件が発覚した。Webサイトの管理画面へ不正アクセスを受けた可能性があり、同ページとは全く無関係なカジノサイトが表示されていた。同社の報告によると、約2週間にわたり改ざんされた状態が続いていたと推測されている。

被害に遭った場合は?【まずは、初期対応】

webサーバーの脆弱性を突いた攻撃を受けた場合は、素早い対応により、
被害の拡大を防ぐ必要があります。

対応は被害状況に応じて以下の方法を取っていきましょう。

  • 不正アクセス:ネットワーク遮断、パスワード変更
  • 情報漏えい:ネットワーク遮断、情報隔離
  • データ改ざん:Webサイトの一時利用停止
魔理沙っち

これらは初期対応と呼びます。

不正アクセス:ネットワーク遮断、パスワード変更

ウェブサイトが脆弱性により、不正アクセスがあった場合、
標的とされたサーバーやコンピュータをネットワークから切り離しましょう。

これは、ワームなどの増殖型ウィルスが社内に広がって被害が拡大するのを
防ぐだけでなく重要な個人情報などを保護するためでもあります。

また、パスワードも必ず変更しておきましょう。

情報漏えい:ネットワーク遮断、情報隔離・報告

個人情報の漏洩が発生してしまった場合は、ただちにネットワークから遮断し、
情報を別の運び媒体に隔離しておく必要があります。

ネットワークから遮断することで、外部に漏れる情報の漏洩をストップ
させることができます。

そして、情報を隔離して、三次被害などを防げるようにしましょう。

その後個人情報保護委員会に報告をする義務があります。

データ改ざん:Webサイトの一時利用停止

データ改竄があった場合は、ウェブサービスを一時停止させましょう。
改竄にあってる場合は、以下の様な3次被害のリスクがあります。

  • 情報の漏洩
  • 情報の書き換え
  • バックドア
  • ウィルス感染

バックドアの構築やウィルス感染となるとハードウェアが破損したり、
免れたとしても廃棄が必要になるので、一刻も早く停止するようにしましょう。

対応を怠ると・・・【賠償問題に発展する場合がある】

対応を怠ると・・・【賠償問題に発展する場合がある】

ウェブサーバーなどの電子計算機に対する攻撃への対応を怠ると、被害状況に応じて
様々なところから賠償責任や刑事責任を負うことになりかねません。

  • レンタルサーバーを破壊された場合・・・電子計算機損壊等業務妨害罪
  • 情報漏洩・・・個人情報保護法違反

レンタルサーバーを破壊された場合・・・電子計算機損壊等業務妨害罪

レンタルサーバーはサーバー会社の電子計算機を用いた賃貸業です。

破壊したり、破壊されてしまった場合、故意・過失の違いはあれど、
電子計算機損壊等業務妨害罪に問われる可能性があります。

刑法234条の2(電子計算機損壊等業務妨害)

1項
 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、5年以下の懲役又は100万円以下の罰金に処する。
2項
 前項の罪の未遂は、罰する。

警報:e-Gov法令

反対に適切に対応し、ログの収集などを行えれば攻撃者を同様の法令で
民事と刑事責任を負わせることができます。

情報漏洩・・・個人情報保護法違反

保有顧客情報などの個人情報が漏洩してしまった場合は適切な対策を行うじた上で
個人情報保護委員会に報告をする義務があります。

その後個人情報保護委員会の通告・命令に従って立ち入り調査に応じたり、
最善な対策を通知する必要があります。

個人情報保護法における漏えい等の罰則

情報漏えいが発生したにも関わらず、報告・調査を怠った場合は、違反者個人と法人は国から以下の罰則が科せられます。

違反者個人への罰則

  • 措置命令違反…1 年以下の懲役又は100 万円以下の罰金
  • 個人情報データベース等の不正流用…1年以下の懲役又は50万円以下の罰金
  • 報告義務違反…50 万円以下の罰金

法人への罰則

  • 措置命令違反…1億円以下の罰金
  • 個人情報データベース等の不正流用…1億円以下の罰金
  • 報告義務違反…50万円の罰則
情報漏えいが発生した企業の個人情報保護委員会への報告義務について解説|サイバーセキュリティ.com (cybersecurity-jp.com)

まとめ:脅威を知って未然に防ごう!

今回、知らないと後悔するウェブサーバの脆弱性9選

  • クロスサイトスクリプティング
  • サービス運用妨害(DoS)
  • メール不正中継
  • バッファオーバーフロー
  • 強制ブラウズ
  • ディレクトリトラバーサル
  • コマンドインジェクション
  • SQLインジェクション
  • URLパラメータの改ざん

を解説しました。

これらの脆弱性は、WAFである程度防ぐことができます。

しかし、

完全ではないため対策を行った後、実際に被害に遭った後の流れも、
想定しておく必要があります。

また、本解説はWEBサーバー全体であるため著名CMS「Wordpress」を
活用されるメディア・ブロガーは以下の記事も合わせて読んでおきましょう。

この記事が気に入ったら
いいね または フォローしてね!

参考になったらシェア!

この記事を書いた人

爲國 勇芽(魔理沙っち)のアバター 爲國 勇芽(魔理沙っち) 自称:精肉社畜個人投資家自作erブロガーゲーマー

埼玉県在住のスーパーのフリーターをしながらAdsense広告によるマネタイズについて研究しています。

ITの様々なニュースや小技の発信とネット回線を紹介するメディアを運営しながら広告マネタイズのテクニックやアドテクにまつわる情報を発信しています。