古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Webサイトを守るために企業が実施すべき対策とは?

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/08/15
Webサイトを守るために企業が実施すべき対策とは?: 図1 WordPressの脆弱性を悪用したWebサイトの改ざん © ITmedia エンタープライズ 提供 図1 WordPressの脆弱性を悪用したWebサイトの改ざん

 前回、「企業はランサムウェアの攻撃に備えて何をすればいいか」では、ランサムウェアの最新の手口と被害状況、そして企業が取るべき対策について解説しました。第二回目となる今回は、2017年初旬に発生したWebサイトへのサイバー攻撃事例をもとに、企業が知っておくべき、脆弱(ぜいじゃく)性を狙ったサイバー攻撃の脅威とその対策について解説します。

●Webサイトの脆弱性を狙ったサイバー攻撃の被害状況

 2017年1月から3月までの3カ月間で、企業のWebサイトをはじめとした、外部に公開されているサーバが攻撃を受けた事例は、40件以上が公表されています。単純計算すると、明らかになっているだけでもこうした被害事例は毎週のように発生していることになります。その中で、Webサイトの脆弱性が原因だったものは25件にものぼっており、脆弱性を狙ったサイバー攻撃が、企業にとって深刻な脅威であることが分かります(表1)。

 2月〜3月には、Web改ざんや情報漏えいの事例が立て続けに発生していますが、これはWebサイトで用いられるソフトウェアで深刻な脆弱性が発覚したことが要因の1つです。脆弱性の内容にもよりますが、深刻な脆弱性の発覚後には、その脆弱性を悪用した攻撃ツールが即座に公開されてWebサイトが攻撃を受けるケースが発生します。

 また、特定のソフトウェアで深刻な脆弱性が発覚した場合には、過去にそのソフトウェアの脆弱性で被害に遭ったことがある企業は特に注意が必要です。過去に自社の被害が公になっている場合には、その情報をもとにサイバー犯罪者が同じソフトウェアを狙って攻撃を仕掛けてくることも推測されます。

●深刻な脆弱性が立て続けに発覚し、国内外で被害が発生

 2017年2月〜3月に発生した一連のWebサイトを狙ったサイバー攻撃は、それぞれWordPress、Apache Struts2といったWebサイト上で使用されるソフトウェアで発覚した深刻な脆弱性が原因となっています。

・WordPressの脆弱性によるWebサイトの改ざん

 WordPressは、世界中で幅広く活用されている、オープンソースのコンテンツ管理システム(Content Management System、CMS)です。WordPressには、さまざまな機能を拡張するプラグインツールが提供されていて、非常に便利である反面、過去には数多くの脆弱性が見つかっています。

 2月には、このWordPressのREST APIの機能に、深刻な脆弱性(CVE-2017-1001000)が発覚しました。この脆弱性は悪用が容易だったこと、そして脆弱性の詳細が公表されたタイミングとほぼ同日に攻撃コードがネット上に公開されたことから、世界中で多数のWebサイトが改ざんされる事態が発生しました。全世界で総計150万ページ、3万9000の固有ドメインが改ざんの被害に遭い、20のハッキンググループの活動で約80万件の攻撃が確認されたとも報じられています。REST APIはWordPressのバージョン4.7から標準で使えるようになった機能で、4.7.0、4.7.1がこの脆弱性の影響を受けました。

・Apache Struts2の脆弱性によるWebサイトからの情報漏えい

 Apache Struts2はWebサイト等の構築時に開発者が利用するJava Webアプリケーションフレームワークで、WordPress同様に広く活用されているツールの1つです。3月に、このApache Struts2にリモートでコードが実行される深刻な脆弱性(CVE-2017-5638)が発覚しました。Apache Struts 2.3.5 – 2.3.31およびApache Struts 2.5 – 2.5.10のバージョンがこの脆弱性の影響を受けました。

 この脆弱性の影響で、国内でもカード決済サービスの提供を行う企業からカード情報を含む大規模な個人情報が漏えいしました。また、独立行政法人、郵便事業者、地方電力会社が同様の被害に遭ったことが公になっています。

 また、2014年に世界中で話題となったOpenSSLの脆弱性(通称「Heartbleed」)が、2017年に入ってからも狙われ、情報漏えいの被害事例が報道されました。今回のように深刻な脆弱性が発覚したタイミングだけでなく、数年前に発覚している脆弱性を狙ったサイバー攻撃も常日頃から発生しています。

●常に発生しているWebサイトを狙ったサイバー攻撃

 2016年12月、ECサイトの構築・運用・セキュリティの実務担当者619人を対象にトレンドマイクロが実施した調査では、過去1年以内に多くのECサイトが「脆弱性を狙ったサイバー攻撃」を受けていると回答しています(図3)。

 この結果から、個人情報やクレジットカード情報を取り扱うようなECサイトは、頻繁にサイバー犯罪者からの攻撃を受けている実状が容易に想像できますが、攻撃の対象は必ずしもECサイトだけではありません。

 公表事例からは、自社のWebページ、問合せフォームなど、さまざまなサイトが攻撃の被害に遭っていることが分かっています。著名な企業が運営するWebサイトかどうかはサイバー犯罪者にとってはあまり関係なく、外部に公開しているサーバは常に攻撃の対象として探索、調査の対象になっていることがうかがい知れます。こうした脆弱性はWeb改ざん、情報漏えい、最悪の場合にはサーバ自体が乗っ取られてしまうといった被害につながるリスクがあり、企業ではWebサイトなど外部に公開しているサーバに対する脆弱性対策が必要不可欠です。

●企業が実施するべき脆弱性対策

 Web改ざん、情報漏えい、サーバ乗っ取りといった深刻な被害をもたらすWebサイトの脆弱性を狙ったサイバー攻撃に対して、企業はどのような対策をとるべきなのでしょうか。

・修正プログラムの適用

 自社がWebサイト等で利用しているOS、ソフトウェアについては、常に最新の脆弱性情報を入手したうえで、製造元から提供される修正プログラムをできるだけ速やかに適用することが求められます。しかし、修正プログラムを適用することで、互換性の問題からWebサイトが正常稼働しなくなるなどの障害が発生するケースもあります。修正プログラムの適用については、その緊急性および必要性を検証したうえで実施することをお勧めします。

 また、修正プログラムをどれだけ迅速に適用できるかは、製造元に依存することになります。そのため、製造元からの修正プログラム提供が遅れたり、サポートが終了したソフトウェアを使い続けているために、修正プログラムがそもそも提供されなくなり、結果としてリスクがそのまま残るといったこともあります。

 その一方で、「修正プログラムの検証に時間が掛かる」「どのサーバにどの修正プログラムを適用すべきか分からない」「脆弱性情報から緊急性、必要性が判断できない」といった理由から、迅速に修正プログラムを適用できない企業も多いのではないでしょうか。加えて、製造元が脆弱性を把握して修正プログラムを提供する前にサイバー犯罪者に悪用されてしまう場合には、即時での対応ができません。こうした場合に有効になってくるのが、セキュリティ製品による対策です。

・セキュリティ対策製品による保護

 Webサイト等の構築に利用されているOSや、ソフトウェアの脆弱性を狙う攻撃に対しては、侵入防御システム(Intrusion Prevention System、IPS)が効果的です。また、Webアプリケーション特有の脆弱性を狙う攻撃には、Webアプリケーションファイアウォール(WAF)が有効です。いずれの対策も、どれだけ迅速に脆弱性に対応できるかは、セキュリティ対策製品の製造元が、どれだけ迅速に脆弱性情報を把握し、攻撃を検知・ブロックするためのルールを提供できるかに依存します。

 また、ゼロデイ脆弱性を突くような攻撃すべてを防ぎ切ることはできませんが、一般的な攻撃(例えばOSコマンドインジェクション等)の手法を使ってゼロデイの脆弱性に対する攻撃を試みてきた場合には、セキュリティ製品でその通信をブロックし、実被害を回避することができるケースもあります。

 今回はWordPress、Apache Struts2の脆弱性の事例をもとに、Webサイトの脆弱性を狙ったサイバー攻撃の脅威とその対策についてお話してきました。次回は、国内ではまだ認知が低いものの、世界ではすでに多くの法人組織が被害に遭っており、少しずつ日本へ流入してきている新たな脅威「ビジネスメール詐欺(BEC)」について解説します。

●著者プロフィール

トレンドマイクロ株式会社 コアテク・スレットマーケティンググループ 山外一徳

大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクトなどのセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon