デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

不正アクセスに対する備え 身近に潜む落とし穴

2018年06月07日

サイバー攻撃によって情報が漏えいしたり、Webサイトが閲覧不能となってサービス停止などの被害にあうといった事件・事故が頻繁に発生するようになりました。サイバー攻撃や不正アクセスといった事案が一般的になったせいか、よほど大規模な事件でなければ、報道される機会も減っています。
サイバー攻撃に備えてセキュリティ製品の導入や、サイバー攻撃対策のサービスを利用している企業・組織も多いと思いますが、今回はもっと身近なところに潜んでいる、見落としがちなリスクについて取り上げます。

shutterstock_323156054

身近に潜む、見落としがちな3つの落とし穴

サイバー攻撃対策だけをしっかりとしていれば、セキュリティが担保され、安全と思いがちですが、実は身近なところに潜んでいるリスクがいくつか存在します。3つほど具体的な事例をご紹介しましょう。

【1】ログインIDとパスワードの組み合わせが容易に推測可能な脆弱な文字列が設定されている


【2】Webサイトと同じサーバー上にメンテナンス用の入口を設置している


【3】アクセス元IPアドレスを制限していない
 (メンテナンスを行う部門または業者しかアクセスできないように設定されていない)


意外かも知れませんが、不正アクセス事例では高度なサイバー攻撃を受けて原因が不明というものよりも、上記のように基本的なセキュリティ対策が実施されていないケースが少なくありません。



基本的なセキュリティ対策が疎かになっている

不正アクセスの事例を分析するとサイバー攻撃への対策だけではセキュリティが担保されない事情が見えてきます。
Webサイトのコンテンツのメンテナンス手段として、FTPサービスが利用されていた事例では、OSや導入されているアプリケーションのアップデートが適切に行われており、Webサイトの動作環境の設定やWebアプリケーションそのものの実装に対して、サイバー攻撃への対策が適切に行われていました。
しかし、FTPサービスへ接続するためのメンテナンス用アカウントのIDとパスワードが容易に推測可能な文字列が設定されていたため、攻撃者による不正アクセスを受けてWebサイト上に不正なファイルを置かれる被害へと繋がっています。
また、Webサイト訪問者にマルウェアを配布するなどの二次被害が発生していたケースもあります。

他にも、Webシステムのメンテナンス用画面がインターネット上から誰でもアクセス可能となっており、ログインするためのIDとパスワードも容易に推測可能な文字列が設定されていたという事例も見つかっています。
このように、ささいなところから、サイバー攻撃を受けるキッカケを与えてしまっているのです。



セキュリティに対する意識は以前よりは高まったものの・・・

もちろん、サイバー攻撃対策として、脆弱性を塞ぐアップデートなどの日々の対応や、攻撃自体を検知・防御する仕組みを導入することは重要です。サイバー攻撃対策として、公開Webサイトに対して侵入検知/防御システムであるIDS(Intrusion Detection System) / IPS(Intrusion Prevention System)を導入し、更にWebアプリケーションファイアウォール(WAF)も導入している組織が増えています。
また、サーバーへマルウェア対策製品を導入することへの意識も高まっています。古いWebシステムのように脆弱性が潜在する可能性が高いけれど、調査や修正にコストを掛けられないという場合にも、WAFはサイバー攻撃対策として重宝されます。
ただ、WAFの設定が適切に行われず、本来防げたサイバー攻撃を防げずに被害を受ける事例も見受けられるため、単純に導入するだけでなく、導入後にどのように運用していくのかがサイバー攻撃からのセキュリティを担保するためには重要になってきます。

このようにサイバー攻撃に対する意識はだいぶ高まっており、かつ具体的な対応策も打つようになりましたが、基本的なところを見落としがちで、それによってサイバー攻撃を受けてしまう恐れがあることは強調し過ぎてもし過ぎることはありません。
つまりWebシステムそのものを堅牢化することが非常に重要になるのです。

例示した事例であれば、メンテナンスに使用するアカウントのパスワードは推測されない十分な長さの文字列を設定し、メンテナンスに関わるメンバーに人事異動などで変化が発生した場合には、必ず変更を実施する。
そして、FTPサービスを利用せずに、SSHなど通信経路が暗号化される安全な手段を利用し、IPアドレスによるアクセス元制限を実施する。
可能であれば、メンテナンス用の入口をWebサイトが稼働しているサーバーとは分ける、といった基本的なセキュリティ対策を実施すべきといえます。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。