ウクライナ情勢などを背景に、水面下でサイバー攻撃が増しているといわれる。近年、大手企業だけでなく、中小企業も対象となっているため、各所で注意喚起がなされている。
多くの企業がWebサイトを運用する中で、注意したいのがWebアプリケーションのセキュリティだ。そこで今回は、有識者にWebアプリケーションにおけるセキュリティリスクの最新情報や対策を、中小企業の視点から手ほどきしてもらった。
最新のサイバー攻撃の脅威
IPA(独立行政法人情報処理推進機構)が発表した令和2年度の「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」では、中小企業1,117社に設置した機器が、外部からの不審なアクセスを181,536件も検知したことが明らかになっている。
しかし、同機構による「2021年度中小企業における情報セキュリティ対策の実態調査報告書」では、2016年度調査との比較において、中小企業における対策の実施状況の改善はわずかであり、さらなる対策の必要性の訴求が必要であることがわかったという。
中小企業の場合、大企業のようにサイバー攻撃の標的となる機会が少ないように感じるからか、なかなかセキュリティ対策を本格的に行わない傾向があるようだ。
最近では、Webセキュリティの脅威について、どのようなものがあるのだろうか。
最新情報を知るべく、Webセキュリティを中心とした診断や教育、相談、コンサルティングなどを行うEGセキュアソリューションズの取締役CTO 徳丸浩氏に話を聞いた。
【取材協力】
徳丸 浩氏
EGセキュアソリューションズ株式会社 取締役CTO
Webアプリケーションセキュリティの第一人者。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、”徳丸本”と呼ばれ広くウェブ従事者に支持されている。
https://www.eg-secure.co.jp/
徳丸氏は、主な脅威について次の2つを挙げる。
1.ECサイトへの侵入によるクレジットカード情報の漏洩
「中小企業のWebサイトの被害でもっとも深刻なものは、ECサイトへの侵入によるクレジットカード情報の漏洩です。一般社団法人日本クレジット協会の発表によると、2021年のクレジットカード情報盗用による被害は311.7億円にのぼり、その多くが中小企業の運営するECサイトからの漏洩と見られます」
2.Webサイトの改ざん
「もう一つの脅威はWebサイトの改ざんです。『自社のサイトには個人情報などないし…』と思っているサイト管理者の方は多いのですが、サイトを改ざんされると、サイトを閲覧したユーザーがウイルス感染するような仕組みをサイトに埋め込まれる場合があり、結果として、お客様に被害を与えることになってしまいます」
Webアプリケーションにおけるセキュリティリスク
サイバー攻撃の対象の一つとして、Webアプリケーションがある。企業が運用するWebアプリケーションといえば、WordPressなどのCMS(コンテンツマネジメントシステム)やECサイト、会員制サイトなどが挙げられる。これらを対象としたサイバー攻撃として、顧客情報の漏えいやWebサイトの改ざんなどが挙げられ、深刻化している。
Webアプリケーションでは、特にどのような点がセキュリティリスクとして懸念があるのだろうか。徳丸氏は次の2点を挙げる。
1.最新でないソフトウェアやネットワーク機器
「自社が利用しているソフトウェアやネットワーク機器を最新の状態に保つことは、インターネットセキュリティの基本ですが、まったくと言っていいほど対応できていないケースが多いのが現状です。中小企業に限らず、企業のWebサイトにはWordPressが広く利用されていますが、このWordPress本体とプラグイン(機能追加のためのソフト)が最新でないために、侵入されてしまうケースがとても多いです。前述のECサイトにおけるクレジットカード情報漏洩のケースも、古いソフトウェアが原因の場合が多くなっています」
2.安全でないパスワード
「サーバーやネットワーク機器に設定するパスワードが弱くて侵入されるケースも目立ちます。総務省が2019年から始めているNOTICEという調査のうち、約10万件の機器に対して行った調査では、簡単なパスワードでログインできたものが2,249件あり、その多くが企業向けのルーターでした。ベンダーにルーターなどの機器の設定を一任するなどしている場合に、セキュリティ設定が危険な状態になっていることに気付かないケースがよくあります」
中小企業のWebアプリケーションへのサイバー攻撃事例
ここ数年起きている、中小企業のWebアプリケーションへのサイバー攻撃にはどのようなものがあるのだろうか。徳丸氏は次の2つをピックアップする。
1.ECサイトに侵入されクレジットカード情報が漏洩した
「運営しているECサイトに侵入され、顧客のクレジットカード情報が盗まれたという事例です。これは各社から公式のプレスリリースが出ているケースが数多くあることからも分かる通り、多発しています。多くの場合、業界標準の『EC-CUBE』というソフトウェアを利用してサイトを構築し、その後、サイトの保守などすることなく放置状態であったことが原因であることが多いようです」
2.サイト移行用のツールを放置した結果、侵入され、サイト改ざんされた
「Webサイトを別のサーバーに引っ越す際に、フリーのツール(ソフト)を利用したところ、移行後に当該ツールを放置していた結果、ツールの脆弱性を悪用され、侵入されてサイトが改ざんされるに至ったというケースもあります」
中小企業が手薄になっているセキュリティ対策
今回紹介された事例などを踏まえると、中小企業はどのような対策が必要だろうか。「やっておけばよかった」と後悔しないための対策を、徳丸氏に聞いた。
1.Webサイト構築時にセキュリティを重視する
「Webサイトを構築する際、Web制作会社等に発注することが多いと思われますが、その際、セキュリティの要求をきちんと伝えることが重要です。また、Webサイトを作った後も、作りっぱなしにするのではなく、その後のサーバーやアプリケーションの保守について、セキュリティについての責任を明確化するべきです。その上で、脆弱性診断を実施して、侵入可能な穴(脆弱性)がないか確認し、もし穴が残存していれば対処をベンダーに依頼するのをおすすめします」
2.WAF導入と共にソフトウェアの脆弱性への対策をしっかりと施す
「ソフトウェアの脆弱性に関しては、Webアプリケーションへの攻撃を検出・低減するWAF(Web Application Firewall)を利用することも非常に有効です。最近は中小企業でも導入可能な、廉価なWAFも出てきており、ぜひ導入を検討すると良いと思います。ただし、WAFが万能というわけでもないので、ソフトウェアの最新化とあわせて実施することをお勧めします」
3.パスワード管理の徹底
「運用担当者がWebアプリケーションにログインする際に利用しているパスワード管理についても重要です。各パスワードを、誰が管理しているかを明確にした上で、それぞれ安全なパスワードを設定するように確認することが重要です」
サイバーセキュリティ対策は、企業規模問わず行い、自分の身は自分で守らなければならない時代となっている。中小企業だからこそ、狙われるケースもあり、その標的にならないようにしっかりと対策を講じることが重要といえそうだ。
【出典】
IPA(独立行政法人情報処理推進機構)「2021年度中小企業における情報セキュリティ対策の実態調査報告書」
IPA(独立行政法人情報処理推進機構)「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」
一般社団法人日本クレジット協会「クレジットカード不正利用被害実態調査」
NOTICE「IoT機器調査及び利用者への注意喚起」
取材・文/石原亜香利