Preventable But Often Ignored, Web App Attacks Expand Their Reach

放置されていることが多い防止可能なウェブアプリケーション攻撃の脅威の拡大

Teresa Meek

データを盗んだり、ウェブサイトを書き換えたりするウェブ攻撃は、20 年以上前からずっと身近なものとして存在しています。ウェブ攻撃は、防ぐことがそれほど難しくないにもかかわらず、いまだに問題を引き起こし、問題発生の頻度も増えています。

Akamai Technologies の「インターネットの現状 - セキュリティ」レポートに掲載されている第 2 四半期のデータによると、昨年ハッカーがフォームフィールドにコードを挿入することでウェブサイトへ侵入するケースが世界全体で 25% 増加しました。最大の標的は群を抜いて米国で、今年の第 2 四半期だけでも 2 億 1,800 万件のインシデントが報告されています。

企業は予防措置を講じなければ、データ、顧客、収益の喪失というリスクを抱えることになります。

Preventable But Often Ignored, Web App Attacks Expand
Akamai の最近のレポートによると、読み込み時間が 0.1 秒遅れると最大 7% の売上が失われます。

ウェブアプリケーション攻撃の種類

ウェブアプリケーション攻撃は、ウェブサイトのインタラクティブな部分にコードを挿入することで、サーバー内のデータを流出させたり、ファイルを破損させたりします。攻撃にはさまざまな形態があり、それぞれが独自の方法で企業に損失を与えます。

クロスサイトスクリプティング(XSS)攻撃は、コードを挿入してウェブサイトを改ざんしたりユーザーを偽のウェブサイトへ誘導したりすることで、ハッカーがユーザーの認証情報を盗み出せるようにするものです。数年前に eBay がこの被害を受けました。Akamai のレポートによると、前四半期に発生したウェブアプリケーション攻撃の 9% が XSS 攻撃でした。

また、ローカル・ファイル・インクルード(LFI)攻撃も多発しており、第 2 四半期に発生したウェブアプリケーション攻撃の 33% を占めていました。LFI 攻撃では、ハッカーが、インタラクティブフィールドにコード化したコマンドを追加し、ウェブサーバー上の機密性の高いファイルへのアクセスを要求します。また、有害なコードを実行する LFI 攻撃もあります。

最も深刻なウェブアプリケーション攻撃のなかでも、最も頻繁に行なわれているのは SQL インジェクション(SQLi)攻撃で、第 2 四半期に発生したウェブアプリケーション攻撃の 51% に上ります。SQLi 攻撃では、ハッカーがサーバー内のデータベースに保存されている情報を漏えいさせるコマンドを挿入します。

SQLi 攻撃が損害を与えるメカニズム

SQLi 攻撃は盗み出すデータを探しながら、サーバーのリソースを枯渇させます。そのため、顧客などの他者が情報を検索する際、読み込み時間が遅くなります。この遅れはわずか 0.001 秒ほどですが、ある人にとっては、これが長すぎる場合もあります。

「0.01 ~ 0.02 秒でできていたページの読み込みが 0.03 ~ 0.1 秒になると、このわずかな遅れによって企業に金銭的な損失が生じます」と Akamai Technologies の Enterprise Vice President 兼 General Manager、John Summers は述べています。「何かを販売しているページであれば、顧客は別の場所でその商品を探します。これによって何百万ドルの損失になることもあります。」

Akamai の最近のレポートによると、読み込み時間が 0.1 秒遅れると最大 7% の売上が失われます。2 秒遅れると、ウェブサイトから離れる人の平均人数が 2 倍になります。

危惧すべきことは他にもあります。顧客が離脱している最中にも、攻撃によってデータベースから情報が引き出されているのです。ハッカーが 1 回の攻撃で得られる情報はわずかですが、データベース上のすべてのコンテンツを引き出すまで、何度も攻撃するケースがよくあります。

攻撃によって、顧客のユーザー名やアカウントのパスワードが盗まれ、閲覧履歴や購入履歴にアクセスされます。クレジットカード情報を暗号化していない企業の場合は、カードのデータまで盗まれてしまいます。

通常、暗号化されているデータを攻撃によって盗むことはできません。しかし、ウェブサイトの開発者が暗号化キーを適切に保管していない場合、ハッカーはこれを見つけて悪用し、クレジットカード番号などの個人情報をダウンロードするのだと Summers は語ります。

攻撃の阻止

企業は次のような簡単な方法でウェブアプリケーション攻撃を防ぐことができます。その一つは、コンピューターコマンド言語が顧客のレスポンスフィールドに挿入されないようにウェブサイトをプログラミングすることです。また、ウェブアプリケーションファイアウォールを導入するのも有効です。

これらのファイアウォールはウェブサイトのトラフィックを監視し、通常はビジネスを行っていない地域からのアクセスがあれば企業に警告します。

「顧客ベースの 99% がヨーロッパなのに、突然オーストラリアからのトラフィックを受信したら、警戒しなければなりません」と Summers は言います。

Akamai のファイアウォールシステムは、異常なトラフィックをスキャンするほか、個々の IP アドレスを評価して、過去に攻撃に関わっていた IP アドレスはハイリスクと判定します。企業は、疑わしいトラフィックに対する警告を受けたら、インタラクションを承認する前に、追加の不正対策を講じることができます。

ウェブアプリケーション攻撃への対策は難しくありませんが、多くの企業は効果的な対策を講じるための十分なリソースを投資していません。ウェブサイトを再評価し、脅威の変化に対応することを怠っている企業もあります。

「時間、労力、コスト、そして決意が必要なため、最優先課題にはならないのです」と Summers は述べています。

一方で、ハッカーはインターネットを徘徊し、アプリケーション攻撃に対して脆弱なウェブサイトを探しています。SQLi 攻撃に適したページを見つけるプロセスを自動化するツールさえ持っています。YouTube には、このようなツールの使い方を説明している動画があります。

このような環境において、企業は、分散型サービス妨害(DDoS)攻撃のような大々的に報じられている種類の攻撃だけではなく、ウェブアプリケーション攻撃に備えるために、優先課題の見直しを迫られています。

「ウェブアプリケーション攻撃はリソースを枯渇させ、遅延を引き起こし、費用を生じさせ、顧客データを取り出し、さらに企業の評判を貶めます」と Summers は警鐘を鳴らします。「DDoS 攻撃のようにシステムをシャットダウンすることはありませんが、長期的に見ると同じ規模の影響を企業に与えるのです。」

米国シアトル在住の Teresa Meek 氏による記事です。15年以上のコミュニケーション分野でのご経験をもとに、Miami Herald と Newsday にも寄稿されています。

関連する CIO のコンテンツ