2018.07.15
Web担当者・経営者のための「自社サイト セキュリティ入門セミナー」(後編)

ディクショナリーアタック

ディクショナリアタックというのは、パスワードクラッキングの手法のひとつです。一般的な単語、地名、人名などをリスト化したものを作成し、片っ端から処理をさせて試していくという手法です。これを人間が手動で行うには無理がありますが、コンピューターに処理させるため短い時間で膨大な数の単語を試すことができます。

一般的な単語をそのまま使っているのはもちろんですが、単語の組み合わせで作ったパスワードなども比較的簡単に破られてしまいます。

ブルートフォース攻撃

ブルートフォース攻撃は総当り攻撃とも呼ばれており、理論的にありうる文字列の組み合わせのパターンをコンピューターに検証させていく攻撃手法です。設定しているパスワードに使われている文字数が少なかったり、あるいは数字のみ、英字のみといったように文字の種類が少なかったりすると、簡単に破られてしまいます。

対策として有効なのが、パスワードの文字数や使う文字の種類(英字・数字・特殊記号)を増やすことです。組み合わせのパターンが複雑になればなるほど、解析するのに時間がかかるため、攻撃者からすると割に合わなくなってきます。

また、ディクショナリーアタックにも同じことが言えますが、Webサイトの運営者側で一定回数パスワードの入力を間違えるとロックがかかるシステムにしておくことで対策ができます。

クロスサイトスクリプティング(XSS)

手法

Webサイトに悪意のあるスクリプトを埋め込むことで、そのサイトに訪れたユーザーのCOOKIE情報を抜き取ったり、不正プログラムへの感染、フィッシングサイトへの誘導などの被害を与えます。具体的には、お問い合わせフォームやログインフォームなどに不正なスクリプトを入力します。

対策

Web担当者はフォームが攻撃の入口になることを想定してシステム構築しておく必要があります。たとえば、フォームの入力文字や種類の制限を行ったり、スクリプトの実行に必要な文字列(<>など)をシステムのほうで無効化し不正なスクリプトが実行できないようにするなどです。

クロスサイトリクエストフォージェリ(CSRF)

手法

この攻撃は、あらかじめ用意した罠サイトに誘導したユーザーを通じて対象に攻撃を仕掛ける手法です。掲示板へのいたずら書き込みや犯罪予告の書き込みなどを、アクセスした被害者のコンピューターを通じて行うことになります。

対策

自社サイト外からのリクエストを受け付けないようにしたり、ワンタイムトークンと呼ばれる使い捨てのパスワードを利用する、画像化されたチェックコードをユーザーの入力させるようにするなどの機能を入れるなどの対策が有効です。

SQLインジェクション

手法

多くのWebサイトのシステムではデータベースが利用されています。たとえば、IDやパスワードはもちろん、顧客の個人情報、商品情報や在庫情報など様々な情報をデータベースで管理しています。

Webサービスにログインをする際に入力したIDやパスワードは、このデータベースに保存されている情報と照合してログインの可否を判断しているのですが、このフォームにデータベースを操作する言語であるSQLの不正コードを埋め込むことで、管理者が想定していない不正操作を行うのがこの手法です。SQLインジェクションが成功してしまうと、なりすましでのログインはもちろん、データの改ざんや削除といった被害が発生します。

対策

この攻撃への対策としては、プログラム側でプリペアドステートメントと呼ばれる仕組みを利用し、想定していないSQLが実行されないようにするのが有効です。