わずか3ヵ月で 6,000件以上※のセキュリティインシデントが発生!
企業ウェブサイト
セキュリティインシデントの
ダメージは甚大
2024年1~3月にJPCERT コーディネーションセンターで報告を受けたセキュリティインシデントの件数は6,089件※にものぼります。
企業のウェブサイトでセキュリティインシデントが発生すると、「顧客情報や、個人情報の漏えい/改ざん/破壊」「非公開情報の取得によるサーバー乗っ取り、なりすまし」「悪性サイトへの誘導による詐欺や情報窃取の発生」など、甚大な影響をもたらします。
その結果、ウェブサイト自体が機能停止して利益が減少したり、社会的信用が低下したりするだけでなく、ランサムウェアを広める「水飲み場」になるなどして、セキュリティインシデント拡大の加害者となる可能性もあります。
※ JPCERT/CC インシデント報告対応レポート[2024年1月1日~2024年3月31日]
企業サイトで
セキュリティインシデントが
発生すると…
企業データベース内の顧客情報・
取引先情報の漏えい/改ざん/破壊
主な手口
- SQLインジェクション
-
SQLインジェクション
お客さまからのお問い合わせなど入力フォームに対して、例えば「入力可能な文字は半角英数、記号は_(アンダーバー).(ピリオド)-(ハイフン)のみ」などのように文字種別の制限ができていないと、そのフォームからSQLという言語を用いた命令文を受け付けてしまいます。それによりデータベースを不正に操作され、情報の漏えいや改ざんにつながる恐れがあります。
- ディレクトリ・トラバーサル
-
ディレクトリ・トラバーサル
「プロフィール写真の更新などでユーザーがファイルをウェブサイトにアップロードする」など、ウェブサイト上のファイルの置き場へのアクセスが発生する際に、指定されたファイル名を適切に処理できていないと、本来見られてはいけないファイルを閲覧され、情報の漏えい/改ざん/破壊につながる恐れがあります。
閲覧しているお客さまの
個人情報等の窃取
主な手口
- クロスサイト・スクリプティング
-
クロスサイト・スクリプティング
お客さまの申し込み内容確認など、入力内容をウェブページに反映させるようなとき、その入力内容に不正な内容がないかチェックしていないと、悪意のあるコードをそのまま入力されてしまいます。その悪意あるコードにより、サイト上で意図しない挙動が生じる恐れがあります。
閲覧しているお客さま本人が
意図しない投稿、決済行為等の発生
主な手口
- クロスサイト・リクエスト・フォージェリ
-
クロスサイト・リクエスト・フォージェリ
ログイン機能があるウェブサイトで、ログイン後の操作が本当にユーザーの意図通りかを確認する仕組みがない場合、ユーザーが意図しない操作をされる危険があります。たとえば、ログイン状態のままで他のサイトのリンクをクリックすると、そのリンクに含まれる攻撃コードによって、ユーザーが気づかないうちに悪意のある操作が実行される可能性があります。
悪性サイトへの不正誘導による
サポート詐欺や、情報窃取等の発生
主な手口
- 意図しないリダイレクト
-
意図しないリダイレクト
リダイレクト(ページ転送)を行っているウェブサイトで、リダイレクト先のURLを他者が変更できないように設定したりURLの検証がされていないと、悪意のあるユーザーに不正なウェブサイトへ転送するよう改ざんされてしまう恐れがあります。
セッションやログイン情報の窃取による
なりすまし・不正決済等の発生
主な手口
- セッションハイジャック
セッションハイジャック
セッションID(ユーザーの識別番号)が暗号化されていないと、悪意のあるユーザーがそのセッションIDを盗み、正規のユーザーになりすまして不正アクセスを行う恐れがあります。
企業内サーバー/ネットワークへの
侵入口の構築
主な手口
- OS コマンド・インジェクション
-
OS コマンド・インジェクション
会員向けサイトなどの入力フォームで入力情報のチェックができていないと、そのフォームからウェブサーバーの基本ソフトウェア(OS:オペレーティングシステム)に対する命令(OSコマンド)を受け付けてしまいます。それにより企業の他のサーバーやネットワークを不正に操作され、悪用される恐れがあります。
- ウェブサイトの機能停止
およびそれに
伴う
利益の減少 - 企業の
社会的信用の低下 - セキュリティ脅威
拡大の要因化
Damage01 ウェブサイトの機能停止およびそれに伴う利益の減少
ウェブサイトでセキュリティインシデントが発生すると、顧客に正しい情報が伝わらなくなったり、悪意の攻撃者が意図した情報を誤って広めてしまったりします。
また、顧客情報や内部情報の漏えいを阻止するために、ウェブサイトの一時的な閉鎖が必要となるため、ウェブサイトが顧客との接点としての機能を喪失し、ひいてはビジネス機会の損失につながります。
Damage02 企業の社会的信用の低下
一度でもセキュリティインシデントが発生すると、情報セキュリティに対する企業姿勢に疑問を持たれるようになり、社会的信用が低下してしまうため、他社や顧客が取引上の情報の提供を躊躇するようになってしまう恐れがあります。
Damage03 セキュリティ脅威拡大の要因化
たとえば御社の顧客である特定のユーザー層をターゲットとする悪意の第三者が、閲覧するだけでランサムウェアなどに感染するように、そのターゲットが頻繁にアクセスする御社のウェブサイトを改ざんしてしまう(水飲み場攻撃)可能性があります。
このようなケースでは、あなたの会社のウェブサイトがセキュリティ脅威拡大のための道具として使用されてしまうことになります。
セキュリティインシデントを
防ぐためには?
セキュリティインシデントを引き起こす、悪意の第三者によるウェブサイト攻撃の手口として、
- OSやアプリケーションの脆弱性を悪用するもの
- アカウント情報を不正に取得するもの
- ウェブサーバーの設定ミスを悪用するもの
などがあります。
ウェブアプリケーションの脆弱性
これらの手口から企業のウェブサイトを守るために、
以下のような対策が必要となります。
- ウェブサーバーのOSやソフトを常に最新化し、脆弱性への対処を継続的に行う
- 組織内のアカウントやパスワード、業務上の利用サービスを適切に管理する
- 重要な非公開サービスを、ウェブサイトで公開されるディレクトリに格納しない
上記以外にも、業務手順の整理からサーバー管理、ネットワーク管理等に至るまで、セキュリティインシデントを防ぐためにはさまざまな対策を講じる必要があります。
また、完璧に対応していると思っていても、状況の変化や手口の巧妙化により常にセキュリティインシデントのリスクはありますので、ウェブサイトのセキュリティ対応状況について定期的にチェックすることが重要になります。
企業サイトは
定期的に診断しましょう
NTT ExCパートナーではサイトの安全性を診断するウェブセキュリティ診断を提供しています。
- 数多くの企業・団体の
セキュリティ診断を実施 - 経験豊富な専門チームに
よる診断 - NTTグループの
システム診断で得られた
高い知見を活用
無料
\押さえておきたい/「 企業のセキュリティ 基本のキ 」
セキュリティ担当者でなくても、自社のウェブサイトなどを見てセキュリティ対応状況をすぐに確認できるチェックリストをご用意しています。
セキュリティ対応の第一歩として、参考にご活用ください。
診断メニュー
ウェブアプリケーション診断
ウェブアプリケーションに存在する問題点を検出します。
| 特徴 |
|
|---|---|
| 主な診断項目 | |
| 期間 | ご契約から8営業日~ |
| 診断結果 報告書イメージ |
|
※ 対象システムごとに金額は異なります。システムを調査したうえで御見積させていただきます。
プラットフォーム診断/クラウドセキュリティ診断
- プラットフォーム診断
-
- インターネット上に公開されているサーバーやネットワーク機器に対し、アクセス可能なポートを調査
- 「ポートスキャン」で応答したポートに対し「脆弱性スキャン」を実施
- クラウドセキュリティ診断
-
- クラウドサービス利用時のセキュリティ設定に関する問題点を検出
- CISベンチマーク※やクラウドベンダが提供するセキュリティのベストプラクティスに準拠した設定か否かを確認
※ CISベンチマーク:CIS(Center of Internet Security)が策定したサイバーセキュリティ防御を実装・管理するのに役立つガイドライン
診断実施の流れ
- Step01
-
診断対象の調査・お見積もり提示
セキュリティ技術者がお客さまのウェブサイトを巡回調査し、最適な診断プランとお見積もりをご提案いたします。
- Step02
-
ご契約
診断対象、診断内容、実施時期等を調整のうえ、ご発注いただきます。
- Step03
-
診断実施
経験豊富なセキュリティ技術者がお客さまのウェブサイトを診断します。
- Step04
-
診断結果のご報告
診断結果を報告書にてご報告いたします。報告会の開催も可能です。