重要なセキュリティ

セキュリティには多くの要素があり、人的(ソーシャルエンジニアリング等)・組織的(仕組み等)・物理的(紙、火災、自然災害、停電等)などがあります。
ウェブサーバー、ウェブサイト/ウェブページおよびネットワークに限っても、さまざまな脅威があります。
これらを防ぐ情報セキュリティでの対応は、情報資産の機密性、完全性、可用性を維持することとなります。
セキュリティの重要性
インターネットにウェブサイトを公開すると、不正アクセス、改ざん、他への攻撃の踏み台などにしようと攻撃者に絶えず狙われます。 最近では、かつての愉快犯や技術を誇示する攻撃者から経済的な利益を得ようとしたり、 サイバーテロでシステムを停止させることを目的としたりと傾向は変わってきています。 ときとして情報の漏洩により、企業などに多大な損害が及ぶこともあります。
ウェブサーバーへの攻撃
ウェブサーバーへの攻撃には能動的攻撃と受動的攻撃があります。
直接攻撃してくる能動的攻撃には、次のような攻撃があります。
- バッファーオーバーフロー
- サーバー上のプログラムが確保するメモリサイズを越える長い文字列を入れて不正なコードを実行させる
- パスワードクラック
- パスワードを得るために多くのパスワードを試す
ブルートフォース攻撃、辞書攻撃などがある - SQLインジェクション
- データベースと入力フォームからデータベースにデータを入れる場合、不正なSQL文を実行する
- ディレクトリトラバーサル
- クライアントから指定可能なファイルパスを構築している場合、 入力データに不正に加工したファイルパスを指定することで意図しないファイルにアクセスされる
- OSコマンドインジェクション
- ウェブアプリケーションにより、ウェブサーバーのOSコマンドを不正に実行される
- DoS攻撃
- 高トラフィックによりサーバー機能を低下させる攻撃で
複数の箇所からのDoS攻撃(DDoS攻撃)がある
多くのサーバーを踏み台にすることがある - その他
- ウィルスなど
悪意のコンテンツを含むウェブサイトへ誘導したり、悪意に加工したファイルを開くように誘導して被害者がその罠を踏むとウェブサイトに攻撃する受動的攻撃があります。
- クロスサイトスクリプティング
- ユーザーに罠を踏ませることで、ユーザーのブラウザーから攻撃者の用意したスクリプトをウェブサイトで実行させる
- クロスサイトフォージェリ
- ユーザーに罠を踏ませることで、ウェブサイトに対してユーザーの意図しない操作を実行させる
- セッションフィクセイション
- 悪意のある人があらかじめ用意したセッションIDをユーザーに送り込み、そのユーザーのログインを狙って、そのユーザーになりすます
- その他
- フィッシングなど
不正アクセスの結果は、単に侵入を試みて破られることだけではなくて、そのIPアドレスを使われて他のサイトへの攻撃・不正アクセスの踏み台とされることがあります。
- IPスプーフィング
- 送信元アドレスを詐称する
- スニフィング
- ネットワーク上を流れるパケットを取得することで通信内容を覗く(平文のパスワードを盗む)
- セッションハイジャック
- セッションを乗っ取る攻撃。TCPコネクションとウェブアプリケーションなどに対するセッションハイジャックがある
- その他
- セッションリプレイ攻撃など
情報の漏洩
社会的な信用を失墜する恐れがある情報の漏洩は絶対に防がなければなりません。
サーバー上にお客様のリストをファイルとして保存しておくと、SQLインジェクションにより漏れて攻撃者の手に渡ることがあります。
20%が簡単なパスワード
毎年恒例のように「もっとも使われた危険なパスワード」の報道があります。これは電子メールやオンラインショッピングを利用するときに入力するパスワードには簡単なものが多いことを言います。 利用者の20%のパスワードは安易なものを使い、アカウントが乗っ取られる危険があるそうです。
簡単なパスワードとしては、名前や辞書に載っている言葉、連続した数字の羅列など、思いつきやすいフレーズを使用しています。最多は"123456"で、"Password","iloveyou","abc123"なども多く、キーボードの字を左から順に打った"Qwerty"もあるようです
対策としては、ハッカーが想像しにくいパスワードを使うことが有効な手段です。 数字とセンテンスの頭文字とワードを混在させることがいいでしょう。
ハッカーは、パスワードを当てずっぽうで自動生成して高速入力するプログラムを使い、アカウントを乗っ取ろうとすることがあり、 安易なパスワードでは的中する確率が飛躍的に上がります。攻撃者が早いペースで乗っ取りが可能であることです。
ランダムな文字列を使うと安全性が高まります。
ランダム文字列を生成するプログラム ランダム文字列生成
をご利用ください。