他人事ではない! 狙われるWebサイトの脆弱性
脆弱性とは、「悪用できるバグ」のことである。Webサイトの開発者にとってバグは身近なものであるが、バグといえば「本来できるはずのことが(正しく)できない」実装上の不具合を思い浮かべるのではないだろうか。脆弱性、つまり悪用できるバグとは、「本来できないはずのことができる」実装上の不具合である。例えば、以下のようなものだ。
・Webサイトの内容を書き換えて、マルウエアを埋め込む
・許可された人しかアクセスできないページに、認証を回避してアクセスする
・別の利用者に成りすまして買い物したり掲示板に書き込んだりする
・ポイントを不正に利用する
これらの悪用できるバグは、開発者のミスから生まれることもあれば、OSやミドルウエアに存在することもある。そして、これらを狙った攻撃は後を絶たない。目的はさまざまだが、特にクレジットカード決済を行うWebサイトや重要な個人情報を扱うWebサイトは攻撃者にとって金銭的なメリットがあるため狙われやすい。また、有名な企業や団体が被害を受けたとの報道も目に付く。しかし、必ずしもECサイトや有名企業・組織のWebサイトのみが狙われるわけではない。クレジットカードや個人情報を取り扱わないWebサイトでも、別のWebサイトへ攻撃するときの踏み台にするために攻撃されることもある。
例えば、仮に貴社のWebサイトに脆弱性があったとしよう。貴社の取引先A社の機密情報を攻撃者が狙っていた場合、攻撃者は、守りの堅いA社を直接攻撃するのではなく、まず攻撃が容易な貴社のWebサイトの脆弱性を悪用し、それを踏み台にA社を攻撃する。そうなれば、意図せず攻撃に加担してしまうことになり、A社から損害賠償を請求される可能性もある。「うちのWebサイトはクレジットカードも個人情報も扱わないから問題ない」とは言ってはいられないのである。
脆弱性診断は“転ばぬ先の杖”
うちのWebサイトは大丈夫なの? と心配になるようであれば、まず脆弱性診断を受けることをお勧めしたい。
脆弱性診断とは、文字通りWebサイトに脆弱性がないかどうかを調べることである。セキュリティ診断や脆弱性検査と呼ばれることもあるが、ほぼ同じものを指すと考えてよいだろう。無料の脆弱性診断ツールなどを使って自社で調べることもできるが、セキュリティ専門企業の脆弱性診断サービスを受けることで、自社では発見の難しい脆弱性が見つかる可能性が高い。また自社で脆弱性診断を実施した場合、Webセキュリティに精通した人材がいない限り、診断結果に対して、危険度がどの程度なのか、修正する必要があるのか、修正する場合の優先度等の判断(トリアージ)が自社だけでは難しいため、一度は専門企業のサービスを受けてみることを検討してほしい。