Webサイトへの不正アクセスが相次いでいる。企業としては対策が急務だが、攻撃者の手口は“進化”を続けている。被害に遭わないためには、最新の手口や対策に関する情報を常時チェックして備える必要がある。そこで本特集では、企業のセキュリティ担当者はもちろん、一般の従業員や経営陣なども知っておくべき、「Webセキュリティの新常識」について解説する。
始まりは「省庁サイトへの改ざん」
攻撃の手口は変わり続けているが、その“本質”は十数年前から変わっていない。Webサイトへの侵入経路は、「脆弱性の悪用」か「認証の突破」しかないのだ。そこで第1回となる今回は、Webサイトへの不正アクセス事件の歴史を振り返り、攻撃の手口の変遷とその本質を確認しよう。
Webサイトへの侵入が国内で大々的に取り上げられた最初の事例は、「省庁不正アクセス事件」だろう。これは、2000年1月14日に科学技術庁(当時)のWebページが改ざんされたことを皮切りに、多数の省庁のWebページが改ざんされた事件だ。あれから14年が経過した現在でも、不正アクセスは増加の一途をたどっている。
なぜ14年間も侵入され続けているのか。根本的な対策はないのだろうか。このように書くと、「セキュリティはイタチごっこなので、根本的な対策はないんですよ。攻撃側は常に“進化”するので、防御側は後手に回るしかないんですよ」と説明する専門家が多いだろう。
確かに、新しい手口が次から次へと生み出されているが、攻撃の本質は変わっていない。この本質を押さえることは、防御側としては不可欠である。では、攻撃の本質とは何か。Webサイトへの侵入経路には、以下の2種類しかないということである。
(1)ソフトウエアの脆弱性を悪用する
(2)認証を突破する
ソフトウエアの脆弱性とは、簡単に言うとバグの一種である。バグのうち、悪用すると「本来は許されていないこと」ができるものを脆弱性と呼ぶ。脆弱性には、タイプ別に名前が付けられていて、「バッファオーバーフロー」や「SQLインジェクション」などがある。
一方、認証を突破されるというのは、管理者あるいは一般ユーザーとして、不正にログインされてしまうことを指す。多くの場合、ログインパスワードを何らかの方法で知られたために発生する。
前述の「省庁不正アクセス事件」については、以下の2点が報道で言及されていたため、ソフトウエアの脆弱性を突いた攻撃だったことが分かる。
(1)バッファオーバーフローの脆弱性を突いた攻撃があった
(2)Webサーバーにはファイアウォールが導入されていなかった
その後、2000年頃のひどい状況は改善されていった。多くの企業でファイアウォールの導入が進んだためだ。「ファイアウォールが導入されていなかったために被害が続出した」という報道のインパクトは非常に大きかった。この時期以降、ファイアウォールは、Webサイトを保護するソリューションの代名詞になった。
