情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-3
2015.04.17
「サイバー攻撃」や「サイバーセキュリティ」という言葉を、ニュースや新聞記事などで目にする機会がずいぶんと増えました。
特に、ホームページが悪意のある第三者に攻撃され、「個人情報やクレジットカード番号が漏えいした」、「改ざんされてマルウェア(ウイルス)の拡散に利用された」といった事例が多く報道されています。
さらに、2020年の東京オリンピック開催を控えており、前回のロンドン大会の際に相当数のサイバー攻撃が確認されたことを受けて、東京大会でもサイバー攻撃への対応が大きな課題となっています。
このため情報セキュリティに関しては、国としても相当な危機感を持っており、2014年に「サイバーセキュリティ基本法」を可決成立し、2015年1月から施行して対策を加速しています。
誰でも迎え入れるのがホームページ
誰でも来てください
しかしそれでは、ホームページの役割を果たさなくなりますね。部外者からのアクセスを想定していない社内ネットワークと違い、ホームページは「誰でも来てください」という前提で成立しています。
「善意の人」、「悪意のある人」に関わらずアクセスを受け入れてしまうので、すべてのホームページは攻撃にあう可能性があるといえます。不当な手段による金銭の取得を目的に、有名企業が運営しているホームページに収録されているクレジットカード情報などが攻撃にあうことは想像に難くありませんが、金銭に関わる情報だけが狙われるわけではありません。
ハイテク企業のネットワークへ侵入して最新の技術情報を盗んだり、有名企業のホームページを改ざんしてマルウェアの拡散を狙う、といったことを目的にすることもあります。また、何らかの主義主張を目的に自治体や公共団体のトップ画面を書き換える、といった事例も見受けられます。
自社以外の攻撃の踏み台にされる
攻撃の踏み台
ターゲットとする企業への直接攻撃が困難なため、その「取引先」の内部システムに侵入することでターゲット企業への攻撃を試みるということです。
例えば、ターゲット企業の「取引先」のホームページの脆弱性を突いて内部システムに侵入し、メールシステムを乗っ取り、ターゲット企業あてにマルウェア(ウイルス)を添付したメールを送信する攻撃や、ターゲット企業の従業員がアクセスするであろうホームページを改ざんし、マルウェアに感染させるといった事例もあります。
こういった攻撃に巻き込まれた企業は、「被害者であり加害者でもある」という状態に置かれてしまうことになります。
どこが狙われる?
詳細には記載しませんが、有名な検索サイトを利用して「脆弱性のあるサイト」を検索することも簡単なことです。
こうした脆弱性のあるホームページを見つけ、無差別に攻撃しているような事例も見受けられるようになりました。
脆弱性が発見される可能性はすべてのホームページにあるため、すべてのホームページが攻撃の対象になりつつあるといえるでしょう。
2014年8月に独立行政法人情報処理推進機構(IPA)および、一般社団法人JPCERT コーディネーションセンターがリリースした注意喚起でも、「改ざんの手口」として「脆弱性への攻撃」をあげていますので、参考にしてください。
攻撃による損失
・ホームページの閉鎖⇒通販などを行っている場合は閉鎖により売上減少、企業イメージの悪化
・ホームページの修正⇒緊急対応が必須であり、このためのコスト負担
・利用者への通知⇒個別連絡をとったり、フリーダイヤルを設けたりといった対応が必要
場合によってはコールセンターを設置
・関係官庁への報告⇒地元警察や関係官庁へ届出し、助言を受ける
・クレジットカード会社への報告⇒クレジットカード情報が含まれる場合、カード各社へ連絡し、対応について調整を行う
・弁護士などへの相談⇒訴訟などのリスクに備え、弁護士などにも相談が必要
・閲覧者への補償⇒状況によっては金銭的な補償を行うこともある
その他としてマスコミ発表などを行うこともあり、様々な影響を考慮する必要があります。これらの対応のために、コスト面では数億円の負担が生じるケースもあり、また企業の信用を落とすなど、ホームページに関するセキュリティ対策は企業の存続にも大きく影響することを認識しておく必要があります。
情報セキュリティ管理者“伊藤”
帝国データバンクプロダクトデザイン部ネットソリューション課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
