こんなWebサイトは危ない! あなたのサイトは狙われているかも……
政府機関や大手企業のWebサイトがサイバー攻撃を受けたニュースを見聞きするにつけ、「英知が集まって作られているであろう政府機関や大企業のサイトでも攻撃されちゃうの?」とおののくブログ担当のもちゃじです。
世の中に存在しているWebサイトは大体狙われちゃうんじゃないか? いや、落ち着け。もちゃじが悪い人だったら、やみくもに狙わないで効率的に攻撃したいと思うはず。
この記事では、Webセキュリティ診断サービス「ABURIDA」の診断員に聞いた、「こんなWebサイトは狙われやすい」をテーマにお届けします。
どんなWebサイトが狙われやすい?
悪い人に狙われやすい危険なWebサイトの特徴は、いくつかあります。
金銭のやり取りがあるサイト
分かりやすいのはECサイト。
口座情報やクレジットカード情報を登録して、買い物ができますよね。これらのWebサイトでは個人情報や機密情報を扱っています。悪い人はそれを狙います。
考えられる攻撃
- ユーザーのクレジットカード情報や口座情報を盗み取って、金銭的な被害を与える
- ユーザーのアカウントを乗っ取って、不正に買い物を行う
お金を扱う以上、もちろん攻撃に対する対策を徹底しているでしょうから、その高いハードルを崩したいという悪い人の自己顕示的欲求も働くのかもしれません(もちゃじの想像です)。
そして注意したいのは、ECサイトだけではありません。例えば、最近もちゃじはnoteで記事を購入したのですが、これだってクレジットカード番号を入力して購入したので、ECサイトに限らず狙おうと思えば狙える。
お金を扱うWebサイトは、すべからく狙われる前提で対策した方が良さそうです。
口座情報だけで悪いことってできるんだろうか? と思ったそこの善良なあなた。有効な口座番号はいわゆる特殊詐欺や悪い人たちのマネーロンダリング(資金洗浄)に利用されてしまうことがあるんです。この場合、銀行口座からお金を盗み取られるような直接的な被害に遭うというよりは、口座番号を利用されて犯罪利用に巻き込まれてしまうという間接的なやり口ですね。
悪い人は直接的にも間接的にも悪いことを考えるので、善良な皆さん要注意ですよ!
ポイントが貯まるサイト
ポイントが貯まるサイトも狙われやすいです。換金率が高いと特に。
ポイントを奪ってやろう。増やしてやろう。(なりすまして)使ってやろう。流出させてやろう。と、悪い人は考えます。そして実行する。
考えられる攻撃
- ユーザーのアカウント情報を盗み取って、不正にポイントを獲得する(増やしたり有効期限を伸ばしたり)
- なりすましてポイントを使う
- アカウント情報やポイントを流出させる
ポイントはお金と同様の価値があり、現金や商品などに変換することができます。そのため、悪い人にとってはポイントの不正利用や流出目的で攻撃するメリットがあるんですね。
ユーザーとしては、ポイントの利用状況を定期的に確認した方が良さそうです。
著名・有名なサイト
とにかく標的になりやすいのが著名・有名なサイトです。
もちゃじのプライベートな趣味のブログを狙ったところで、影響力はゼロ。もちゃじがくっそうって思うのみ。ところが、著名人や有名人のサイトや有名なサイトだったらどうでしょう。多くのユーザーが利用しているので、悪い人が攻撃を成功させてしまった場合、影響力と攻撃効果(被害)はめっちゃ高いのです。
考えられる攻撃
- サイトのコンテンツを改ざんする
- サイトの運営を妨害する
あと、著名なサイトに似ていると間違って攻撃されることもあるんだそう。
国際ハッカー集団「アノニマス」が日本の政府機関への攻撃として「霞ヶ関」と「霞ヶ浦」を間違えたのでは? という説や(間違いではなく、本当の攻撃という説もあり)、「日本製粉(当時)」が大規模サイバー攻撃を受けたのは「日本政府」と間違えられたのでは? など、まことしやかにささやかれている説もあります。
見た目が古いサイト
Webサイトが誕生した1990年代やWebサイトが普及した2000年代に作成されたサイトは、当時の技術やデザインの制約によって、シンプルでフラットなデザインであることが多いです。画像や動画は今に比べて粗く、シンプルで基本的な機能のみという特徴があります。
昔よくあった、Webサイトの訪問者数がカウントされていくやつ(分かりますかね?)とかも見た目が古いサイトにあたります。
考えられる攻撃
- このサイトを足掛かりにして、他のサイトを攻撃する「踏み台攻撃」
- パスワードを盗み出す
- 有効なメールアドレスを抜き出す
見た目が古いからといって、必ずしもセキュリティ対策が不十分というわけではないのですが、不十分である可能性が高いです。
新しい技術やセキュリティ対策に対応していないかもしれない、サイト運営者が脆弱性の修正をしていないかもしれない、と思われて悪い人に狙われます。
アカウント登録しているサイト
ユーザーの個人情報やアカウント情報が登録されているサイト。
例えば、これらの情報を盗み取り、会員情報のリストを業者に売ってお金を稼ぐということが考えられます。実際に、個人情報の漏えい・流出問題は結構な頻度で報道されています。
個人情報やアカウント情報を手に入れてしまえば、アカウント乗っ取りやユーザーへの攻撃もできてしまいます。
考えられる攻撃
- アカウント情報を盗み取り、乗っ取る
- ユーザーになりすまして不正な行為をする
番外編:外部から狙われるとは限らない
悪い人は外部だけとは限らないのが怖いところ。敵は本能寺にあり? 本当の敵は内部にいる? 外部から狙われることばかり想定していると足をすくわれてしまうのも悲しい話。
番外編1.クローズドな環境で使うサイト
もちゃじが少し意外に感じたのが、クローズドな環境で使うサイトも危ないということ。クローズドな環境なのに? え、じゃあ身内(正当な利用者)が攻撃するってこと?
例えば学校のサイト。学校内のLANからしか入れないようなシステムになっているWebサイトがあるとします。そのサイト内をたどって、次のような攻撃をされてしまう恐れがあります。
考えられる攻撃
- 保存されているテストの内容や回答を奪う
- 個人情報や学生、職員のリストを奪う
昨今のニュースでは、派遣社員が名簿情報を長年にわたって売っていたという事例もあります。
悪い人がクローズドな環境に勤めている社員や職員、派遣社員に対して「名簿1件=xx円」といった内容で言葉巧みに誘い出して……。
身内が実行犯、その裏に主犯が潜んでいるケースがあるんです。悪い人は直接手を下さずに間接的に攻撃を仕掛けるんだな。実際そういうケースはよくあるとのこと。
クローズドな環境で使うサイトは、一般的なサイトと比べて、セキュリティ対策が甘い可能性があるのかな、またそう思われやすいのかな。っていうより、内部の人に犯罪の加担をさせるんか!
番外編2.ゲーム
ゲームも危ない!
何が危ないかというと、例えば、1日に稼げるコインやポイントの上限が決まっているゲームで、その上限を超えてコインやポイントを稼げる脆弱性があるとします。
仮に、無課金で1日に100コインまでしか稼げないゲームで、その上限を超えて10,000コイン稼げてしまうような脆弱性があった場合、一般のユーザーはそれを試してみたくなるかもしれません。
裏技ラッキーくらいのノリでコインやポイントを稼いでしまうと、それは一般ユーザーが犯罪という意識なしに犯罪行為をしてしまうことになり、犯罪者を作り出してしまうことになりかねないんです。
そういう意味で、危ないんです。無知は罪なり。
どんな攻撃をされる?
紹介した七つのサイトは、いずれも悪い人の標的になりやすいサイトです。これらのサイトは、ユーザーの個人情報やアカウント情報などの重要な情報を保有していることが多く、悪い人にとっては魅力的に見えるそうです。
特に脆弱性に対する対策が不十分な場合、以下の攻撃を受ける恐れがあります。
- クロスサイトスクリプティング
- SQLインジェクション
ちなみにこの二つは、脆弱性対策情報データベース「JVN iPedia」によると、2023年の第3四半期で最も多く集計された脆弱性の1位と2位なんです。さすが三大脆弱性だな。要注意です!
三大脆弱性の記事はこちらからどうぞ。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングは、「Webサイトを悪用して、それを見た訪問者が被害に遭ってしまう攻撃、または攻撃されてしまう脆弱性」のことです。複数のサイトをまたいで(クロスサイト)、スクリプトによって攻撃(スクリプティング)されます。
Webサイトのフォームや入力フォームにスクリプトを埋め込んで攻撃。悪い人が作ったスクリプトが、ユーザーのブラウザで実行されてしまいます。
想定される被害
- ユーザーのブラウザが乗っ取られる
- 情報が盗み取られる
クロスサイトスクリプティングについて詳しくはこちらの記事をどうぞ。
SQLインジェクション
SQLインジェクションとは、「外部からSQL文を送信してWebアプリケーションのデータベースを不正に操作して攻撃されてしまう状態のこと。またはその攻撃」のことをいいます。
Webサイトのフォームやチャットなどの入力フォームにSQL文を埋め込んで攻撃。データベースを直接操作されて情報を盗み取ったり、改ざんされたりしてしまいます。
想定される被害
- データベースから情報が盗み取られる
- データベースが改ざんされる
SQLインジェクションについて詳しくはこちらの記事をどうぞ。
攻撃されるとどうなる?
それぞれに予想される攻撃を書きましたが、大きくまとめると以下三つのような感じではないでしょうか。
重要情報の漏えい
クレジットカード番号や口座番号、住所、電話番号などの個人情報や企業情報が盗み取られて、これによりなりすましや詐欺の被害を受ける恐れがあります。
サイトの信用失墜
サイトのコンテンツが改ざんされたり、サービスやサイトが停止したりすると、サイトの信頼性が失墜し、ユーザー離れやブランドイメージの低下といった被害につながる恐れがあります。
被害額が莫大
個人情報の漏えいにより、金銭的な被害の発生やサイトの信用失墜=社会的信用の失墜を招く恐れがあります。その結果、企業の株価の下落、取引先の減少といった深刻な状況に。
実際に顧客情報が流出した企業では、賠償やらなんやらで被害額が何十億という報道も見聞きします。
対策は?
対策しましょう! できることありますよ!
最新のソフトウェアを使用する
ソフトウェアには、脆弱性が存在する場合があります。最新のバージョンにアップデートすることで、最新のセキュリティパッチが適用されて、脆弱性が修正されます。
具体的には
- ソフトウェアのアップデートを定期的に行い、最新バージョンにする
- ソフトウェアのサポートが終了しているものは使用しない
パスワードを強固なものにする
ログイン時の認証情報であるパスワードが弱いと、悪い人に容易に解読され不正アクセスされてしまう恐れがあります。
強固なパスワードにするために
- 8文字以上で、大文字、小文字、数字、記号を組み合わせる
- 単語やフレーズをそのまま使用しない
- 個人情報や容易に推測できるものを使用しない
- 定期的に変更する
アクセス制御を強化する
アクセスの制限を強化することで、不正なアクセスを防ぐことができます。
- 特定のIPアドレスのみ許可する
- WAFを導入する
- 二要素認証
脆弱性診断を実施する
Webサイトには、脆弱性が存在している可能性があります。その脆弱性を診断することでサイトの脆弱性を洗い出して、対策を講じることができます。
弊社のWebセキュリティ診断サービス「ABURIDA」https://web-scan.jp/をそっと宣伝しておきます。興味を持たれた方は、お気軽にお問い合わせください。
まとめ
Webサイトには狙われやすいものがありました。
ユーザーのアカウント登録があって、アカウントにひもづく情報があると、悪い人は情報を狙いにやってくる。有名なサイトは狙われやすい。
狙われるWebサイトの種類はいろいろだとしても、攻撃は同じようなやり方だということも分かりました。
とにかく、「Webサイトに入力欄があると、そこから攻撃をしかけてくるぞ」と覚えておく! もちろんそれだけでは十分ではありません。できる対策はしっかり採りつつ、セキュリティ診断をしてみるのがいいかもしれません。念のため、定期的にバックアップを取ることも忘れずに!
ふう、書き終えた
俳優、阿部 寛さんのWebサイトは懐かしさの塊であることで有名ですね。このままのスタイルを継続してほしいような……
ライター/もちゃじ
IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。
ITド素人の私がWebセキュリティについて学び、レベルアップしていく(予定です)様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。