SSL製品本部
SSLプロダクトマーケティング部
上席部長
安達 徹也 氏
クロスサイトスクリプティングやSQLインジェクションといった、Webサイトの脆弱性を突く攻撃の脅威が指摘されるようになって久しい。それらの攻撃によって情報漏洩やシステム障害などが引き起こされ、サイトを運営する企業が甚大な損害を被ったという例は枚挙にいとまがない。
「このような攻撃は、ともすると大手企業のみを狙うものと認識してしまいがちですが、実際には小規模企業がその対象とされるケースも急増しています」とシマンテックグループである日本ベリサインの安達徹也氏は指摘する。事実、従業員1~250人という小規模の企業を狙った攻撃を2011年と2012年で比較すると、数のうえでは3倍に増加。さらに、あらゆる規模の企業に対する攻撃のなかでの割合は、18%から31%にも増えている(出典:シマンテック「インターネットセキュリティ脅威レポート2012」)。セキュリティ対策に多額の投資を行っている大手企業や著名団体よりも、対策が手薄な小規模の企業へと攻撃者のターゲットは確実に広がってきているのだ。
「具体的には、大手企業と取引のある中小企業を狙い、それら企業のアカウントを乗っ取って、なりすましにより大手企業のシステムに侵入する手口が増えています。中小企業にとっては、自社の対策の不備が取引先に損害を及ぼすものにもなり得るという認識が必要です」と安達氏は強調する。
一方、今日とりわけ脅威を拡大しているのが「パスワードリスト攻撃」という手口だ。これは、日常、複数サイトにアクセスするユーザーの多くが、それらサイト間で同一のIDやパスワードを使い回ししているという傾向を利用した手法。あるサイトに対する脆弱性攻撃などにより入手したアカウント/パスワードを用いて、様々なほかのWebサイトでログインの試行を繰り返す。「このパスワードリスト攻撃は、例えば、パスワードとしてよく使われる語句を辞書として用意してログイン試行を行う辞書攻撃など、ほかの不正ログイン手法に比べて成功率が高く、サイト運営者側も気づきにくいのが大きな特徴です」と安達氏は語る。
このように拡大を続けるWebサイトに対する攻撃に向けた万全の対策が、あらゆる規模の企業に求められている。