近年、インターネット上で提供されるWebベースのサービスは、急速に増加しています。しかし、その一方でサイバー攻撃もより洗練され、多様化しています。Webサービスを標的とした攻撃は、企業や個人の財産や利益に深刻な被害をもたらす可能性があります。

そのため、Webサイトの管理者やセキュリティ担当者は、目まぐるしく変化する攻撃傾向へ適切に対応することが求められています。

本記事では、Webベースのサービスを狙うサイバー攻撃の状況をおさらいしつつ、最新のWebセキュリティ対策についてご説明します。

Webサービスがサイバー攻撃から狙われている

1. サイバー攻撃の増加と影響範囲

スマートフォンやIoTデバイスなどの普及などを受けて、Webサービスの利用がますます拡大していますが、それに伴いサイバー攻撃も増え続けています。

クラッカー(悪意あるハッカー、攻撃者)は、日々進化する技術と手法を駆使し、あらゆるWebサービスを標的にしています。様々な規模の企業や組織が被害に遭い、その影響は個人のプライバシー侵害から経済的損失、国家の安全保障に至るまで多岐にわたっています。

2. サイバー攻撃の被害事例と背景

サイバー攻撃による被害事例は数多く報告されており、企業や組織には大きなダメージをもたらします。

• 個人情報やクレジットカード情報の流出
• サーバーへの不正アクセスによるデータ改竄
• サービスの停止
• ランサムウェアによるデータの暗号化

上記のように、攻撃の手法と被害の内容は多岐にわたります。また、クラッカーは企業の弱点を狙い撃ちし、社会的な動向や組織の構造をリサーチした上で攻撃を仕掛けることも少なくありません。

被害の背景にはセキュリティの甘さや対策の不備があることもあり、企業はサイバー攻撃に対して常に警戒し、適切な対策を講じる必要があります。

多様化するWebサービスを狙うサイバー攻撃の実態

Webサービスを標的とするサイバー攻撃には、様々な手法があります。以下に、代表的な攻撃手法をいくつか挙げてみます。

1. フィッシング

フィッシングとは、偽のWebサイトやメールを巧妙に作成して正規のサービスや企業のように見せかけて、ユーザーから個人情報やパスワードをだまし取る手法です。

特に金融機関やオンラインショッピングサイトなど、決済に関わる重要情報をやり取りするWebサービスが標的となりやすいです。

2. DDoS攻撃

DDoS(Distributed Denial of Service)攻撃は、サービスの可用性を侵害する手法です。多数のコンピューターやIoT機器から大量のデータトラフィックを対象のWebサイトやサービスに送り込み、サーバーを過負荷にさせることで。正常なアクセスを妨害します。これにより、サービスが一時的または長時間にわたって利用不能になることがあります。

DDoS攻撃は比較的簡単に実行できるため、業種・規模を問わず標的にされやすいです。

3. SQLインジェクション(SQLi)

SQLインジェクションは、Webアプリケーションに対して不正なSQLクエリを挿入することによって、データベースに対して攻撃する手法です。セキュリティ対策が不十分なWebサイトでは、攻撃者がデータベースから重要な情報を盗み出すことができるリスクがあります。

Webサイトのアプリケーションレベルの脆弱性を悪用する手法の一つであり、適切な入力検証とセキュリティ対策が必要です。

4. クロスサイトスクリプティング(XSS)

クロスサイトスクリプティングは、攻撃者がWebサイト上に悪意のあるスクリプトを埋め込むことで、ユーザーのブラウザ上でスクリプトを実行させる手法です。これにより、ユーザーのセッション情報やクッキーを盗み取ったり、意図しないアクションを実行させたりすることが可能です。

5. クレデンシャルスタッフィング

クレデンシャルスタッフィングは、リストに含まれる膨大なユーザー名とパスワードの組み合わせを使って、不正アクセスを試みる手法です。多くのユーザーが同じパスワードを使用していることを狙ったものなので、ユーザーに強力なパスワードの使用を促すことが重要です。

6. ゼロデイ攻撃

ゼロデイ攻撃は、Webサイトやアプリケーションのセキュリティホール・脆弱性が修正される前に攻撃を仕掛ける手法です。セキュリティパッチがリリースされる前から攻撃されるため、従来型のソリューションだけで対応するのは困難であり、対策を図れるソリューションはごく一部に限られます。

ここで記載した攻撃手法は、数多くある攻撃手法の一部に過ぎません。

Webベースのサービスを提供している企業は、もれなくこれらの多様な攻撃をいつ受けてもおかしくないリスクを抱えています。

そこで、最新の攻撃手法、傾向に対して有効な手段として注目されているソリューションを次にご紹介します。

Webセキュリティ対策として何をすべきか：WAF導入が最適解って本当？

WAF(Web Application Firewall)とは、WebサーバーやWebアプリケーションを保護するための、セキュリティ装置やサービスです。WebサイトやWebアプリケーションに対する悪意のある攻撃や不正アクセスを検知し、遮断する役割を果たします。

ファイアウォール(Firewall)がネットワーク層の通信だけを監視するのに対し、WAFではこれに加えてアプリケーション層での通信を監視し、特定の脆弱性に対する攻撃をブロックします。

しかし、多様化と進化を続けるサイバー攻撃への対策として、WAFでは応えきれなくなっているのが現状です。そこで、最新の対策として注目されるのが「WAAP」です。

最新のWebセキュリティ対策「WAAP」とは

WAAPとは「Web Application and API Protection」の略で、Gartner社が提唱する新しいWebセキュリティの概念やサービスを指します。

端的にはクラウド型WAFの進化系であり、以下4つのコア機能が含まれる包括的ソリューションです。従来型のWAF製品でも、一部ではDDoS対策機能を提供していましたが、さらにボット対策・API保護が加わります。

1. Webアプリケーション保護(WAF)

前述のように、SQLインジェクションなどのようなアプリケーション層への攻撃から、Webサイトやサービスを保護します。

2. DDoS攻撃への対策

異常なボリュームの攻撃トラフィックを検知した際に、これを緩和・ブロックし、Webサイトやサービスの可用性を担保します。

3. ボットへの対策

ボットからの不正アクセスや自動化された攻撃を検知し、Webサイトやサービスを保護します。不正なプロセスによる商品購入を防いだり、競合他社からのスクレイピングによるシステム負荷を低減したりすることも可能です。

4. APIの保護

APIに特化した保護機能を提供します。APIエンドポイントへの不正なアクセスやAPIの悪用を防ぐため、トークンベースの認証やアクセス制御、リクエストの検証などをおこないます。これにより、APIを正当なユーザーにのみ公開し、機密性とデータの完全性を確保します。

まとめ

Webベースのサービスを狙うサイバー攻撃は日々進化しておりますが、手法としては、クレデンシャルスタッフィングやXSS、SQLインジェクション、DDoS攻撃などが、引き続き一般的に用いられています。

一方のWebセキュリティ対策も、進化し続けています。WAAPでは、Web Application Firewall(WAF)をはじめとした保護機能を包括的に提供することで、WebアプリケーションとAPIの保護を効率的に強化します。セキュリティ対策を定期的に見直してアップデートすることで、進化するサイバー攻撃への備えていくことが重要です。

当社では、長年にわたってAkamaiが提供するWebセキュリティソリューションを取り扱っており、数多くのお客様へご提供しております。ご興味いただけましたら、是非お気軽にお問い合わせください。

関連コンテンツのご紹介

製品ページ

• クラウド型WAAP
• ウェブサービスやAPIをあらゆる攻撃から自動保護 (特設ページ)
• セキュリティーに関するサービス一覧

ブロードメディアでは、ウェブサイトやアプリケーション、APIに関する、セキュリティー対策やパフォーマンス高速化、負荷対策などの各種サービスを提供しています。また、これらサービスの開発元であるAkamai社のパートナープログラムにおいて、最高ランクである「Elite」の認定を受けています。

セキュリティー対策や高速化などでお困りでしたら、ぜひお気軽にご相談・お問い合わせください。