開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

アカマイ・テクノロジーズ合同会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/04/09

被害事例から理解するサイバー攻撃最新トレンド、押さえておきたい「最低ライン」は?

新型コロナウイルスの影響もあり、私たちの日々の生活や経済活動はインターネットにより強く依存することになった。一方でサイバー攻撃も大幅に増加し、多くの企業がWebサイトやWebアプリケーションにおけるセキュリティ対策に苦慮している。特に犯罪者が狙うのは、ユーザーIDやパスワードなどの個人情報だ。情報流出を防ぐため、セキュリティ担当者はどうすればいいのか。サイバー攻撃の最新動向や特徴を踏まえ、これだけは押さえておきたいセキュリティ対策のポイントを解説する。

photo
日本企業の多くがキャッチアップし切れていない、サイバー攻撃の最新手法とは
(Photo/Getty Images)

サーバでの攻撃検知が難しい「クライアントサイド」攻撃の実態

 Webサーバに対する最も基本的な攻撃方法として、サーバの脆弱性を突き、WebShell(Web上でサーバに対して任意のコマンドを実行できるインターフェース)によって遠隔からサーバを操作し情報を盗むといった手法がある。

 しかし近年、攻撃はさらにもう一段階進歩している。たとえば、悪意のあるJavaScriptをクライアント側に組み込むことで、サーバ側にはそれが攻撃だと分からない手法でPIIデータ(個人を特定できる情報)を窃取しているのだ。

 これがいわゆる「クライアントサイド攻撃」であり、昨今多くの企業で被害が発生している「Webスキミング攻撃」もその典型例だ。Webスキミング攻撃とは、ECサイト上などに不正なコードを仕込み、サイトの利用者が入力した個人情報を攻撃者が盗み取る行為のことだ。

 Webスキミング攻撃では、まずサーバの脆弱性を突き、WebサービスやWebサイトの利用者への表示ページに対して、改ざんされた悪意のあるJavaScriptのコードを配信する。それにより、ECサイトであれば、ユーザーが入力した情報が直接攻撃者のサーバ(コマンド&コントロールサーバ)に送信されてしまう。正規のサーバと通信しないため、情報流出の検知が難しいのが特徴だ。

 2018年には英国ブリティッシュ・エアウェイズが、Webスキミング攻撃によって顧客情報漏えいを起こし、訴訟問題にまで発展している。Webスキミングは日本ではまだ馴染みが薄く、多くの企業の理解が十分とは言えない。ファーストパーティのJavaScriptなら改ざんされにくいと考えるかもしれないが、同社の事例はサードパーティーではなくファーストパーティの改ざんであり、決して安心はできない。

 一方で、システムが稼働する「サーバサイド攻撃」についてもその手法は進化を続けている。

この記事の続き >>
・2年間で43.8億件、長年に渡って存在する脅威
・増加するボット攻撃への対応は?
・Webセキュリティ対策として実施したい「最低ライン」

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!