お電話での無料体験レッスン予約・ご質問はこちら
受付時間 10時‐21時0120-746-555

イベントリポート一覧

2018.07.15
Web担当者・経営者のための「自社サイト セキュリティ入門セミナー」(後編)

Web担当者・経営者のための「自社サイト セキュリティ入門セミナー」(後編)

インターネット・アカデミーでは、6月13日(水)にWeb担当者・経営者を対象にした「自社サイト セキュリティ入門セミナー」を開催。電子証明書における世界のリーディングカンパニーであるDigiCert, Inc.の日本法人デジサート・ジャパン合同会社の中川就介氏と、インターネット・アカデミー講師の有村克己より、Web担当者が知っておくべきセキュリティ知識についての講演を行いました。

ここではインターネット・アカデミー講師の有村が行った講演内容の一部をご紹介します。

前編:デジサート・ジャパン合同会社の講演内容

サイバー攻撃の手口から学ぶセキュリティ対策

インターネット・アカデミー講師
有村克己

私たちは普段、様々なWebサービスを活用しています。Yahoo!やGoogleなどが提供するサービスはもちろん、Amazonや楽天などのECサイト、FacebookやtwitterなどのSNSなど、複数のWebサービスを活用している方も多いのではないでしょうか。サイバー攻撃者はこれらのWebサービスを利用する際にユーザーが登録した個人情報を狙っています。

今回は、サイバー攻撃の手口や、Webシステムを構築するうえで押さえておきたい対策のポイントについてご紹介します。

パスワードクラッキングの手法

パスワードクラッキングの手法

多くの方は複数のWebサービスを利用していると思いますが、利用するサービスが増えるほどパスワードの管理は困難になります。そのため、パスワードを覚えやすいように少ない文字数にしたり、好きな英単語にしたり、あるいは、複数のサービスでパスワードを使いまわすなどしている方もいます。

しかし、こうしたパスワードの管理は危険で、サイバー攻撃者に簡単に破られたり、パスワードが漏洩した時の被害が大きくなってしまいます。まずはパスワードクラッキングの手法についてご紹介します。

ディクショナリーアタック

ディクショナリアタックというのは、パスワードクラッキングの手法のひとつです。一般的な単語、地名、人名などをリスト化したものを作成し、片っ端から処理をさせて試していくという手法です。これを人間が手動で行うには無理がありますが、コンピューターに処理させるため短い時間で膨大な数の単語を試すことができます。

一般的な単語をそのまま使っているのはもちろんですが、単語の組み合わせで作ったパスワードなども比較的簡単に破られてしまいます。

ブルートフォース攻撃

ブルートフォース攻撃は総当り攻撃とも呼ばれており、理論的にありうる文字列の組み合わせのパターンをコンピューターに検証させていく攻撃手法です。設定しているパスワードに使われている文字数が少なかったり、あるいは数字のみ、英字のみといったように文字の種類が少なかったりすると、簡単に破られてしまいます。

対策として有効なのが、パスワードの文字数や使う文字の種類(英字・数字・特殊記号)を増やすことです。組み合わせのパターンが複雑になればなるほど、解析するのに時間がかかるため、攻撃者からすると割に合わなくなってきます。

また、ディクショナリーアタックにも同じことが言えますが、Webサイトの運営者側で一定回数パスワードの入力を間違えるとロックがかかるシステムにしておくことで対策ができます。

サイバー攻撃の手法

サイバー攻撃の手法

パスワードクラッキング以外にも、Webサイトに対して攻撃を仕掛ける手法も存在します。Web担当者にとっては自社サイトがこうした攻撃にさらされる可能性がありますので、サイバー攻撃の手法を知ることで対策ができるようになります。

クロスサイトスクリプティング(XSS)

手法

Webサイトに悪意のあるスクリプトを埋め込むことで、そのサイトに訪れたユーザーのCOOKIE情報を抜き取ったり、不正プログラムへの感染、フィッシングサイトへの誘導などの被害を与えます。具体的には、お問い合わせフォームやログインフォームなどに不正なスクリプトを入力します。

対策

Web担当者はフォームが攻撃の入口になることを想定してシステム構築しておく必要があります。たとえば、フォームの入力文字や種類の制限を行ったり、スクリプトの実行に必要な文字列(<>など)をシステムのほうで無効化し不正なスクリプトが実行できないようにするなどです。

クロスサイトリクエストフォージェリ(CSRF)

手法

この攻撃は、あらかじめ用意した罠サイトに誘導したユーザーを通じて対象に攻撃を仕掛ける手法です。掲示板へのいたずら書き込みや犯罪予告の書き込みなどを、アクセスした被害者のコンピューターを通じて行うことになります。

対策

自社サイト外からのリクエストを受け付けないようにしたり、ワンタイムトークンと呼ばれる使い捨てのパスワードを利用する、画像化されたチェックコードをユーザーの入力させるようにするなどの機能を入れるなどの対策が有効です。

SQLインジェクション

手法

多くのWebサイトのシステムではデータベースが利用されています。たとえば、IDやパスワードはもちろん、顧客の個人情報、商品情報や在庫情報など様々な情報をデータベースで管理しています。

Webサービスにログインをする際に入力したIDやパスワードは、このデータベースに保存されている情報と照合してログインの可否を判断しているのですが、このフォームにデータベースを操作する言語であるSQLの不正コードを埋め込むことで、管理者が想定していない不正操作を行うのがこの手法です。SQLインジェクションが成功してしまうと、なりすましでのログインはもちろん、データの改ざんや削除といった被害が発生します。

対策

この攻撃への対策としては、プログラム側でプリペアドステートメントと呼ばれる仕組みを利用し、想定していないSQLが実行されないようにするのが有効です。

なぜWeb担当者がセキュリティを学ぶべきなのか

なぜWeb担当者がセキュリティを学ぶべきなのか

ここまで、いくつかのサイバー攻撃の手法と、プログラム側での対策を紹介してきました。

ECサイトをはじめとしたWebサービスを提供しているWebサイトはもちろんですが、そうでなくてもお問い合わせフォームなどは多くの企業が設置しています。サイバー攻撃にはフォームを狙った攻撃手法も数多く存在していますので、Web担当者は自社サイトがこうした攻撃にさらされるリスクを想定しておかなければなりません。

Web担当者の方のなかには、「自分は中小企業のWebサイトを運営しているからセキュリティ対策は必要ない」と考えられている方も多くいらっしゃるのですが、実はサイバー攻撃は企業規模を問わずに行われています。日本では過去3年にサイバー攻撃被害の遭った中小企業は29%(※)となっており、約3分の1の企業がサイバー攻撃を受けています。そのため、中小企業のWeb担当者にもセキュリティの知識が欠かせなくなってきています。

Web担当者の場合、自分自身がプログラミングをしてシステムを構築していく機会はあまりないかもしれません。しかし、攻撃手法と対策を知っておくことで、システムを外注する際に対策を含めて依頼をしたり、対策が行われているかどうかの検証を行うことができるようになりますので、自社サイトのセキュリティを高めることができるようになります。

インターネット・アカデミーのプログラミングを学ぶ講座では、プログラミングの知識だけでなく、サイバー攻撃の手法やプログラム側で備えるべき対策についてご紹介していますので、自社サイトのセキュリティを高めたい方はお気軽にお問い合わせください。

※出典:State of Cybersecurity in APAC: Small Business, Big Threats, by ESET Whitepaper, October 2017.

Web担当者の方へWebのプロフェッショナルが
マンツーマンでご案内

Webのプロフェッショナルがマンツーマンでご案内

まずは無料体験レッスン
無料相談からスタート!

日本初そして唯一のIT・Web専門スクールのインターネット・アカデミーでは、「自社サイトの運用について」「自社サイトの集客力を高めたい」という方に向けた無料体験レッスンを行っています。また、企業研修をご検討の方に向けた無料相談も承っていますので、お気軽にご連絡ください。

Webを学びたいすべての方へ無料体験レッスン実施中

インターネット・アカデミーは、Webデザインやプログラミングなど、Web・ITが学べる日本初の専門スクールです。一人ひとりのご要望に合わせて、キャリアカウンセリングやレッスンを無料で体験して頂けます。

無料体験レッスンのオンライン予約