Webサイトに対する攻撃パターン

Webサイトに対する攻撃には、様々な方法があります。そのなかでも代表的なパターンをいくつか紹介します。

不正アクセス

不正アクセスとは、アクセス権限がないにも関わらず、不正にシステムに侵入することで、Web上に公開しているファイルは常に不正アクセスの危険に晒されています。近年では、企業に対する不正アクセスが増加しており、総務省に資料によると、令和２年における不正アクセスの認知件数は2,806件ありました。

参考資料：不正アクセス行為の発生状況（総務省）

不正アクセスによる被害

不正アクセスによる被害には次のようなものが考えられます。

• 非公開データの漏えい
• 情報の改ざん
• システムの停止や破壊
• バックドアの設置
• サイバー攻撃への踏み台

不正アクセスによる攻撃を受けると、情報の漏えいや改ざん、システムの破壊など様々な被害を受けます。復旧するにも多額の費用と時間がかかり、顧客からの信用も失ってしまうため、被害が大きくなってしまいます。

不正アクセスへの対策

不正アクセスからの被害を防ぐには、IDやパスワードの徹底した管理やシステムのアップデートを行って最新の状態を保つことが必要です。

また、ログを監視して不正アクセスへの兆候を発見することで、被害を最小限に抑えることができます。ただし、人力でログを365日24時間監視することは難しいので、セキュリティ対策ツールなどで監視することになります。

通信の盗聴

インターネットでWebサイトを閲覧するときには、サーバーと閲覧者の端末の間にはパケットという単位で情報が流れています。重要な個人情報や機密情報などもパケットとしてネットワーク上に流れており、悪意のある第三者がこの情報を盗み見ようと試みることがあります。このような通信の盗聴はスニッフィングと呼ばれることもあります。

盗聴は簡単

攻撃者にとって、ネットワーク上を流れる情報を盗聴することは、とても簡単なことです。これはインターネットの仕組みそのものが盗聴を防ぐことを考えて作られていないためです。また、不正アクセスなどのようにログとして証拠も残らないため、攻撃者にとってはリスクが小さく効率の良い攻撃方法となります。

そのため、ネットワーク上を流れている情報は常に盗聴のリスクがあると考えてください。

盗聴への対策（管理者）

Webサイトの管理者が盗聴への対策を行うには、SSLによる暗号化通信を行うことが有効です。

SSLとは「Secure Socket Layer」の略で、インターネット上のデータを暗号化する仕組みです。httpsから始まるURLではSSLによる通信を行っており、悪意のある第三者から重要な情報を守ることができます。

盗聴への対策（閲覧者）

Webサイトを閲覧者が盗聴への対策を行う場合にも、SSLによる暗号化通信は有効な手段です。特にパスワードや個人情報、重要な情報などを送信する必要があるサイトでは必ずSSLによる通信が行われているか確認しましょう。

SSLによる通信が行われているかを確認するには、ブラウザのアドレスバーに鍵のマークがあるかを確認します。

この鍵のマークがない場合はSSLによる通信が行われていないので、盗聴の危険性があります。パスワードや個人情報など、重要な情報を入力するときには十分に注意してください。

偽装サイトによる攻撃

実在するサイトに似せたサイトを作り、ユーザーをだましてパスワードや個人情報などを入力させることがあります。また、通販サイトやブランドなどを装って、詐欺行為を行っいることもあります。

偽装サイトによる被害

偽装サイトにアクセスしてしまった場合、次のような被害が考えられます。

• パスワードや個人情報などの搾取
• クレジットカードの不正利用
• 銀行口座の不正引き出し
• 偽ブランド品の購入
• 商品が届かない

偽装サイトへの対策

偽装サイトから情報や財産を守るためには、少しでも早く偽装サイトであることに気がつくことが大切です。主に次のようなポイントでチェックします。

• 不審なメールから送られてきたURLではないか
• URLが正しいか
• 不自然な日本語が使われていないか
• 運営会社の情報が正しいか
• 商品の相場が平均より安い

また、サイト運営者が偽装サイトを発見した場合には、ホームページ上でユーザーに対して注意喚起することも大切です。

DoS攻撃

DoS攻撃とは「Denial of service attack」の略で、Webサイトに対して大量のアクセスを繰り返したり、大量のデータを送るなどしてサーバーをダウンさせる攻撃です。とてもシンプルな攻撃手法ですが、大規模な攻撃の場合にはシステムには大きな負担がかかり、復旧や対策のため経済的にも大きな被害を受けてしまいます。

DoS攻撃への対策

DoS攻撃からの被害を防ぐには次のような方法があります。

• 攻撃元のIPを特定し、アクセスを遮断する
• 海外からのアクセスを制限する
• ネットワークトラフィックを監視する

また、DoS攻撃は怨恨や嫌がらせにより行われることも多くあります。炎上するようなコンテンツを作らないことも、攻撃を防ぐ一つの方法となるでしょう。