日本屈指のセキュリティライターである吉澤 亨史氏の新連載
興味がある方はご覧ください。
###
個人情報漏えい事件が多発するときには、その背後にWebアプリケーションの脆弱性の発覚があることが少なくありません。脆弱性の公表とともに修正パッチやアップデートが提供されますが、サイバー攻撃者もその脆弱性を悪用した攻撃を行います。その結果、対策が間に合わなかったWebサイトが被害に遭ってしまうわけです。ここでは、脆弱性に対する攻撃と、それを阻止するWAFについて紹介します。
◆情報漏えいにつながるWebアプリケーションの脆弱性
個人情報の漏えい事件は後を絶ちません。JNSA(NPO日本ネットワークセキュリティ協会)の調査によると、2017年における情報漏えい事件の原因は「誤操作」(25.1%)、「紛失・置き忘れ」(21.8%)、「不正アクセス」(17.4%)、「管理ミス」(13.0%)が上位を占めています。このうち「不正アクセス」を原因とするものは、脆弱性を悪用された可能性が高いと考えられます。
また、情報漏えい事件を時系列で振り返ってみると、事件が立て続けに発生している時期が数回あります。これらの多くは、Webサイトに存在する同一の脆弱性を悪用されている可能性があります。こうした脆弱性は、Webアプリケーションを構築するためのフレームワークである「Apache Struts 2」を筆頭に、Webサイトの更新などに利用されるCMS(Content Management System)である「WordPress」など、ある程度の傾向が認められます。
脆弱性とは、アプリケーションに存在する不具合のことで、「セキュリティホール」とも呼ばれます。脆弱性にも多くの種類がありますが、想定されていない入力や操作などによって、外部からWebアプリケーションを操作されてしまうものもあります。たとえば「SQLインジェクション」という脆弱性では、Webサイトにデータベースを操作するための命令文「SQL文」を混入することで、外部からデータベースを操作されてしまいます。ユーザ登録機能のあるWebサイトなどでは、データベースサーバに格納されている個人情報を盗み出されてしまうことになるのです。
(この続きは以下をご覧ください)
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
