安心安全なWebサイトを！ サイバー攻撃の種類と対策方法

Webサイトを運用するようになると、気になってくるのはサイバー攻撃ではないでしょうか。いつどんな攻撃をされて、どれくらいの被害がでるのか、考えるだけで恐ろしいですよね。サイバー攻撃からWebサイトを守るためには、まずはサイバー攻撃の種類や仕組みを知ることが大切です。今回は、サイバー攻撃の種類とその対策方法をご紹介します。

サイバー攻撃の種類と対策

では、さっそくサイバー攻撃の種類とそれぞれの対策方法についてみていきましょう。サイバー攻撃と呼ばれる攻撃の種類は現状相当数把握されています。今回ご紹介するのは、その中でも発生数の多い攻撃をピックアップしてご紹介いたします。

パスワードクラッキング

パスワードクラッキングとは、IDやパスワードによって本人認証をするショッピングサイトなどの会員制のWebサイトから、個人情報を狙ってユーザーのパスワードを抜き取ろうとするサイバー攻撃のことを指します。 よく使われるパスワードの一覧を一通り試していく辞書攻撃や、パスワードに使うことのできる文字の全組み合わせを試していくブルートフォース攻撃などが有名です。

対策

生年月日のような推測しやすいものや、単純で短いパスワードはパスワードクラッキングの被害を最も受けやすいです。会員制Webサイトを運営する側は、複雑で長く、推測しにくいパスワードを設定してもらいように条件を設定することで、パスワードクラッキングによる被害を抑えることができます。ユーザー側は、記号や数字、ローマ字を織り交ぜた難解なパスワードにすることを心がけましょう。

DoS攻撃

DoS(Denial of Service)攻撃とは、Webサイトに対してサーバーが短期間で処理できないほどの大量アクセスをすることでサーバーをダウンさせ、サービスを停止させるサイバー攻撃です。F5キーを何度も押して繰り返しWebサイトにアクセスすることでサーバーに負荷をかけるF5攻撃や、SYN Flood 攻撃がよくDoS攻撃として使用されます。

SYN Flood 攻撃

ユーザーとサーバーの間では、Webサイトにアクセスするとき、まずユーザー側はサーバに対してSYNパケットを送信します。次に、接続を受け入れたサーバーはユーザー側に対してSYN/ACKパケットを送信します。そして最後に、ユーザー側がACKパケットをサーバに送信するという3段階の手続きが行われています。SYN Flood 攻撃は、この3段階目のACKパケットをサーバー側に送信するという手続きをせずに一方的にSYNパケットだけ送信することで、接続が完了しないアクセスを増やし続けて別のユーザーのアクセスするのを妨害するという攻撃です。

対策

アクセスの不自然な増加を検知し、その送信の元となるIPアドレスからのアクセス遮断をできる限り早く行うことが対策となります。 特に企業でWebサイトを運営する場合は、DoS攻撃の対策としてWAF(Webアプリケーションファイアウォール)を利用することも視野に入れましょう。WAFの例として、サイバーセキュリティクラウドの攻撃遮断くんがあげられます。 

セッションハイジャック

セッションハイジャックとは、ユーザーのCookieやセッションIDを不正に取得し、その情報でログイン済みのユーザーとしてシステムを利用するサイバー攻撃のことです。CookieやセッションIDの窃取は、ネットワーク通信を傍受したり、Webアプリケーションの脆弱性を狙うことで発生します。

対策

ネットワーク通信を暗号化することで、その通信を傍受されても情報を読み取られなくしたり、同一のユーザーでも異なるIPアドレスからアクセスしようとした場合は強制ログアウトをさせる仕組みにするなどしてセッションハイジャックの対策をしましょう。

ディレクトリトラバーサル

ディレクトリトラバーサルとは、Webで公開されていないディレクトリにアクセスして、Webサーバーのログインパスワードを不正に取得し、Webサーバーへ不正ログインなどのサイバー攻撃につなげる行為のことを言います。ディレクトリとはインターネット上の情報の置き場のようなものです。

URLでファイルを指定する方法には、場所そのもののディレクトリを指定する方法のほかに、「現在の1つ上の階層」と、他のディレクトリ名を使用して指定する方法もあります。この指定方法をする際に公開していないディレクトリを含んでしまうことが、ディレクトリトラバーサルを受ける大きな原因です。

対策

公開されていないディレクトリが、ファイルを指定するURLに入っていないかを確認することで、ディレクトリトラバーサルは対策することができます。

クロスサイトスクリプティング・クロスサイトリクエストフォージェリ

クロスサイトスクリプティング(Cross Site Scripting;XSS)とは、ユーザーの入力内容を表示する、掲示板などの脆弱性のあるWebサイトにスクリプトを書き込むというリンクを表示したページを公開することで、そのリンクをクリックしたユーザーが意図せずそのWebサイトにスクリプトを書き込んでしまうというサイバー攻撃の手法です。

また、クロスサイトリクエストフォージェリという、XSSと同じような手法を使ってログインが必要なサイトを本人になりすまして利用する攻撃方法もあります。

対策

Webサイトを利用するうえで、怪しいリンクにはアクセスしないようにしましょう。

SQLインジェクション

SQLインジェクションとは、データベースに送信する情報にデータベースが解釈できる内容を織り交ぜることで、意図していない動作をデータベースに起こさせる攻撃のことを言います。検索画面やログイン画面は、ユーザーがWebサーバーに送信した情報をデータベースサーバーに連携することで処理を行う仕組みをついたサイバー攻撃です。

対策

SQLインジェクションの対策としては、文字を入力できるエリアに文字数制限をつけたり、脆弱性を狙っている攻撃を検知できるファイアウォールなどのアプリケーションを使用することが挙げられます。

ゼロデイ攻撃

ゼロデイ攻撃とは、セキュリティホールの修正プログラムが開発されるよりも前に、セキュリティホールを利用した攻撃をすることを指します。セキュリティホールとは、ソフトウェア製品の欠陥によって起こる、本来権限がないと見えない情報や出来ない操作を権限がないユーザーが扱うことができる不具合のことです。

この攻撃に関しては明確な対策がありません。ユーザーは、セキュリティホールが発見されにくく、かつ発見された場合には素早い対応をする製品を選択することが必要です。

まとめ

サイバー攻撃の種類をいくつかご紹介しましたが、よく耳にする名前もあれば、聞いたことがないものもあったのではないでしょうか？ここで紹介したもの以外にも、サイバー攻撃の手法はたくさんあります。Web担当者として、サイバー攻撃とその対策方法に関する知識は常にキャッチアップをしましょう。

WebMedia参考記事

「Webサイトのセキュリティ向上」導入すべきソフトの種類と特徴

https://www.itra.co.jp/webmedia/security-soft.html

Webサイトを制作、運営するに当たって、セキュリティをどう強化するかというのは大きな課題です。NICTER観測レポートに...

自社サイトのセキュリティが心配、ハッキング対策をもっと図っておきたい、とお考えではありませんか？

ITRAではお客様に真摯に向かい、ご要望に沿ったWebサイト制作やリニューアルを行ってきました。お気軽にお問い合わせください。