テレワークの普及でサイバー攻撃の件数は急増しており、セキュリティ強化の必要性が高まっています。サイバー攻撃の中でも特に注目したいのが企業のWebサイトを狙った不正アクセスです。
本記事では、Webサイトを対象とした不正アクセスの事例と有効な対策についてご紹介します。
ページコンテンツ
不正アクセスが増加中!企業のWebサイトを狙ったサイバー攻撃
新型コロナウイルスへの対応として、テレワークを導入する企業が増えています。そんな中、テレワークの脆弱性をついたサイバー攻撃が増加し、大きな被害を及ぼしています。
サイバー攻撃の中でも特に注目したいのが企業のWebサイトを狙った不正アクセスです。
Webサイトが不正アクセスされても大した問題にはならないのではと思われている方もいらっしゃるかと思います。しかし、Webサイトが攻撃されると、個人情報漏えい、コンテンツの改ざんによるマルウェア感染や詐欺サイトへの誘導、Webサイトの停止といった被害を受けてしまう可能性があり非常に危険です。
また、社会的信用の低下や損害賠償・事後対応によるサービスの長期停止や売上低下などの損失を誘引し、最悪の場合は倒産といった深刻な被害に発展してしまう可能性もあります。
総務省が公開した「令和2年における不正アクセス禁止法違反事件の認知・検挙状況等について」によると、2019年の不正アクセス行為の認知件数は2,960件にものぼり、前年の1,486件と比較すると倍近く増加していることがわかります。また、2020年は2,806件もの不正アクセスが認知されているため、依然として注意が必要です。
被害に遭わないためにも、攻撃者がWebサイトのどのような脆弱性をついて侵入してくるのかを知っておく必要があります。
次章では、Webサイトへの不正アクセス事例についてご紹介します。
Webサイトへの不正アクセス被害事例
Webサイトの不正アクセスはどのようにして行われるのでしょうか。ここでは、Webサイトの脆弱性をついた不正アクセスの被害事例についてご紹介します。
異常なアクセスによる攻撃被害事例
ある企業では公式のオンラインショップが不正アクセスを受け、約24万人分もの氏名や電話番号、住所などの個人情報が流出するという事件がありました。
数日間にわたり継続的にWebサイトへの異常な件数のアクセスが検知されたことから、同社はセキュリティ強化の緊急的な措置を実施するも、多くの個人情報を流出させてしまう結果となりました。
不正アクセスによるアプリケーション改ざん事例
通信販売を手掛ける某企業では、オンラインショップが不正アクセスを受け、顧客のアカウント情報やクレジットカード情報が流出し、一部が不正利用された事件が発生しました。
この事件は、システムの脆弱性をついた不正アクセスにより、決済アプリケーションが改ざんされ、オンラインショップを利用した顧客の情報が盗まれました。さらに、盗まれた個人情報が悪用された可能性が高いとされています。
不正操作による不正プログラム設置事例
ドラッグストアチェーンを展開している某企業では、オンラインショップを狙った不正アクセス被害を受けました。
この企業では外部サービスを用いてオンラインショップを運営していましたが、同システムを利用する他企業で個人情報が流出した可能性があることがわかりました。この結果を受け同社が調査をしたところ、7,000件近くの個人情報が流出していることが明らかになりました。
原因は、オンラインショップ内での不正な注文操作によってWeb上で動作する不正なプログラムが設置されたことであるとされています。
不正アクセスによるアクセスユーザーのリダイレクト事例
介護事業を展開している某企業では、Webサイトへの不正アクセスによって全く関係のない別サイトへ飛ばされてしまう事象が発生しました。第三者機関による調査では、幸いにも個人情報の漏えいなどの被害は確認されませんでした。
このように、Webサイトへの不正アクセスは多くの企業へ被害をもたらしています。
次章では不正アクセスによる被害をなくすために取るべきセキュリティ対策についてご紹介します。
Webサイトへの不正アクセスによる被害を防ぐセキュリティ対策
Webサイトへの不正アクセスによる被害を防ぐためには、ここでご紹介する6つの対策が有効です。
ソフトウェアの更新
不正アクセスはアプリやOSの脆弱性をついたケースが多いことから、まずはソフトウェアの更新をおすすめします。
アプリやOSで脆弱性が発見された場合、提供者はその問題を解消するための修正プログラムを作成し、ソフトウェアの更新として修正プログラムを配布します。そのため、利用者はソフトウェアを更新し、常に最新の状態を保つことで不正アクセスのリスクを低減することが可能です。
多要素認証を導入する
多要素認証を導入することも有効な対策です。多要素認証は複数の要素を組み合わせた認証方式のことで、
- 知識情報(パスワードやPINコード)
- 所持情報(携帯電話やICカード)
- 生体情報(指紋や静脈)
などの要素を組み合わせることで実現します。
多要素認証であれば一要素だけでは認証を突破できないため、もしパスワードが流出してしまった場合でも不正アクセスを防ぐことができます。
パスワード管理を徹底する
パスワード管理を徹底することも重要です。
複数の文字種(大文字、小文字、記号、英数字)や文字数など、入力規則を満たした文字列でなければパスワードを設定できないようにする仕組みや、有効期限を設定して一定期間を過ぎると更新が必要になる仕組み、同じ文字列を使いまわさない仕組みを導入するなどし、パスワード管理を徹底することが不正アクセスのリスク低減につながります。
アクセス権限を正しく設定
ファイルやディレクトリへのアクセス権限を設定することも不正アクセスへの有効な対策です。IDやパスワードなどの情報を収集しているファイルには、外部からのアクセスを禁止するなどの制限を設けることで情報漏えいを防ぐことができます。
機器構成の変更やソフトウェアのインストール制限
業務用の全ての機器やソフトウェアの安全性を確認した後に、一般社員によって脆弱性のある機器やソフトウェアへ変更されてしまわないよう、機器構成の変更やソフトウェアのインストールに制限を設けることが重要です。
ファイアウォールや侵入防止システム(IPS)などの導入
システムへの侵入を防止するためには、ファイアウォールや侵入防止システム(IPS)、WAFなどの導入が効果的です。ファイアウォールでは送信元や宛先を参照し、不正が疑われる通信を遮断することができ、WAF(Web Application Firewall)ではWebアプリケーションへの攻撃を検知・遮断することができます。
一方、不正と判断がつかない異常な量のアクセスによる攻撃には対応できません。そこで有効なのが、IPSによる通信内容の監視・検知です。これら2つのセキュリティシステムを導入することがシステムのセキュリティ強化には非常に重要です。
次章では、Webサイトのセキュリティをより強固なものとするセキュリティソリューションについてご紹介します。
システム導入でWebサイトを防御!大興電子通信のセキュリティソリューション
Web攻撃、Webサイト改ざんなど、あらゆる脅威に対応するためのセキュリティソリューションとして、大興電子通信の「cloudbric(クラウドブリック)」と「WebARGUS(ウェブアルゴス)」をご紹介します。
あらゆる脅威からWebサイトを防御「cloudbric(クラウドブリック)」
cloudbricは、企業のWebサイトやWebアプリケーションなど、Webを基盤としたシステムを守るためのセキュリティ・プラットフォーム・サービスです。
ロジカル分析WAF、DDoS対策、脅威IP遮断、悪性Bot遮断といった機能を提供しているため、Web攻撃やサイト改ざんによる情報漏えいのリスクからWebサイトを防御する事が可能です。
Web改ざんの瞬間検知・瞬間復旧「WebARGUS(ウェブアルゴス)」
WebARGUSは、Webサイトの防御を突破されてしまった際に有効なセキュリティソリューションです。
Web改ざんの被害に遭遇してしまった際にも瞬時に検知・復旧ができるため、改ざんの被害を最小限に留めることができます。
大興電子通信のセキュリティソリューションについての詳細は以下のリンクで確認できますので、ご興味をもたれた方は是非一度ご覧ください。
不正アクセスの脅威から企業を守るセキュリティソリューション