TOP >  リスクマネジメント
riskmgt-top-pict

リスクマネジメント

要注意!ウェブサイトに関する脆弱性

脆弱性関連情報の届出状況

脆弱性関連情報の届出状況

IPA(情報処理推進機構)の公開情報によると、2012年第3四半期はウェブサイトに関する脆弱性が目立ち、前四半期の約26.6%増となる157件の届け出がありました。
これにより2004年7月の脆弱性関連情報の届出開始からの累計が7,950件のうちウェブサイトに関するものが6,526件と82%を占めております。

ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、
2012年第3四半期に修正を完了したものは171件(累計4,436件)。
修正を完了した171件の対策内容の内訳は、ウェブアプリケーションを修正したものが145件(85%)、当該ページを削除したものが25件(14%)、運用で回避したものが1件(1%)でした。
なお、修正を完了した171件のうち73件(43%)は、届出から修正完了まで90日以上経過していました。

参考資料:IPA(情報処理推進機構)

Webサイトの脆弱性とその原因

Webサイトの脆弱性

Webサイトに関する脆弱性とはウエブページに内在するセキュリティ上の問題点。悪意をもった第三者に、Webブラウザ、ツールからの攻撃や侵入を可能としてしまう脆弱性のことです。対策を疎かにして攻撃・侵入にあってしまうとWebサイトの改ざん、顧客情報の流出(クレジットカード情報含む)など多大な被害が起こります。特に2012年9月中旬より海外からの攻撃が増加。PHPのCGIモードにおける脆弱性を突いた攻撃( SQLインジェクション)が600件以上発生、ピークを迎えた日には1日あたり800件弱を観測したと言われております。

脆弱性の原因

アプリケーション設計ミス ・・・ セッション管理、セキュアコーディング不備
Webサーバ&コンテンツ管理ミス ・・・ アクセス制御/コンテンツ配置ミスなど
既知の脆弱性とパッチ未適用 ・・・ バグのパッチ適用漏れ

脆弱性の原因

増え続けるサイバー攻撃被害

サイバー攻撃を受けた企業の事例

他にも多数の企業サイトが被害に!!

時期 被害内容
2011年8月 海外の認証局が外部から不正アクセスを受け、数百件に及ぶ不正証明書を発行企業は倒産となる。
2011年10月 ゲーム通販サイトが不正アクセスを受け3,471件の顧客情報が(個人情報、暗号化されたクレジットカード情報)流出。サイトを閉鎖。
2012年1月 化粧品通販大手のウエブサイトが国内外から攻撃を受け、顧客のクレジットカード情報1493件流出。カードの不正利用も発覚。
2012年3月 ソフトウェアのダウンロードサイトを運営するサーバが4度の不正アクセスを受け463件のクレジットカード情報が流出
その影響により売上高は5億6700円と前年同期比45.8%減となった。
2012年4月 ギフトサービスを展開する企業が外部より不正アクセスを受け顧客291人分のクレジットカード番号、有効期限、カード名義、メールアドレスなどが流出
2012年5月 大手電子メーカのウェブサイトが改ざんされ閲覧者がマルウエアに感染する細工が仕込まれた
2012年6月 政府機関など国内複数サイトにサイバー攻撃 (サイバー攻撃を展開する「アノンオプス」による攻撃)を受ける。官公庁の国有財産情報公開システムや、ウエブサイトが改ざんされた
2012年9月 大手ゲーム会社のオンラインショッピングサイトのサーバが不正アクセスを受け顧客情報が流出ショップの運営を終了
2012年10月 Team Ghost Shellと名乗るハッカーグループが国内外の100大学ものサーバーに不正アクセスし、合計で12万を超える大量のアカウント情報が盗まれる。国内で被害を受けたのは、東北大学、東京大学、名古屋大学、京都大学、大阪大学の5大学。
2012年10月 アフィリエイト事業やショッピングサイトを展開する企業が2011年11月より継続的に不正アクセスを受け、クレジットカード情報98件に窃取された痕跡が残っていた。クレジットカード番号やカード名義、有効期限が含まれる。ウェブサーバの通信ログには、9万4243件の情報が含まれ、これらも不正に取得された可能性がある。
2012年11月 コンテンツ管理システムが不正アクセスに遭い、管理下にある高校や特別支援学校、団体など21サイトにおいて、改ざんが発生。同システム下で運営されていたサイトにアクセスすると海外の不正ページへ誘導され、マルウェアに感染する可能性があった。
2013年3月 オンラインショッピングサイトのサーバが不正アクセスを受けWebサイトが改ざんされる。改ざんされたサイトからはクレジット情報1万2036件が外部のデータベースに送信された。不正利用にともなう想定損害額は、最大305万3千円であると試算。
2013年5月 大手ショッピングサイトになりすましによる不正ログイン被害が発生。最大8,289人のアカウトに不正なログインが行われ、クレジットカード情報含む個人情報が取得された可能性があるとしている。
2013年5月 大手インターネットサービス会社のサーバが不正アクセスを受け最大2200万件のIDが流出、その内148万6000件については、暗号化されたパスワード、およびパスワード再設定に用いる「秘密の質問」が流出。同社は4月にも同様の攻撃を受け、約127万件のIDやパスワードが流出しかかった。

ハッカー集団の台頭

ハッカー集団の存在

◆ハッカー集団Anonymous
米Symantecのソースコードを流出
Symantecによると、Anonymousのメンバーを名乗る人物から1月に接触があり、流出した同社製品のソースコード公開を見送る条件として、金銭を要求されたという。ネットに掲載されたやり取りでは、Symantec側が5万ドルの支払いを提示したうえで、Anonymousに対して入手したコードを破棄することなどを要求している。

◆ハッカー集団のAnonymous
「インターネットをダウンさせる」と予告ハッカー集団Anonymousの名で、「2012年3月31日にインターネットをダウンさせる」と予告する声明がインターネットに掲載された。これに対してセキュリティ企業では、攻撃は事実上不可能だと予想している。  Anonymousを名乗る声明では、この攻撃を「グローバルブラックアウト作戦」と命名。標的とするDNSサーバのIPアドレスも公表し、攻撃に使うDDoS(大規模・分散型サービス妨害)ツールも用意したという。

pagetop
プロが診断!セキュリティ対策に関するお問い合わせはこちらからどうぞ