ひと目に触れないクラッキング対策について

今回はWebサイトのセキュリティについて書きたいと思います。

時事ネタで言うと日本年金機構の情報漏えいが世間を騒がせていますね。少し前だとベネッセの情報漏えいもありました。

Web制作やシステム構築を行っている我々からすると「自社のクライアントでも同様の事が起きているのではないか！？」と、非常に気になるニュースです。

ウィルスの感染やWebサーバーへの侵入、ホームページの改ざんなど備えなければならないセキュリティ対策はたくさんありますが、今回は「クラッキング対策」について書きたいと思います。

クラッキングとは

不性アクセスやハッキング、クラッキングという言葉を聞いたことはありませんでしょうか？一般的には他人のパソコンや外部のサーバーにネットワーク経由で侵入し、情報を抜き取ったり、改ざんしたりする事を指していると思われがちですが、この二つの言葉は厳密に言うとちょっと違うものです。

ハッキング

他人のパソコンや外部のサーバーへの侵入そのものを目的とした行為を指します。
ハッキングという言葉自体は悪意のある行為というわけではない。

クラッキング

他人のパソコンや外部のサーバーへ侵入し情報の取得や改ざん、破壊などの攻撃を目的とした行為を指します。
つまり、悪意のある行為がクラッキングです。

ハッキングの技能は元来深い知識と高度な技術を必要とするものであり、そのような技術者をハッカー(hacker)と呼び尊敬される存在であった。

ハッキングとクラッキングどちらも、”他人のパソコンや外部のサーバーへ侵入”するという行為自体には違いはありません。

代表的なクラッキング手口

クラッキングには様々な方法や種類があります。

DoS攻撃(Denial of Service attack)

インターネット経由で大量のデータや不正なパケットを送りつけて大きな負荷をかけてパンク・ダウンさせる攻撃や、アプリケーションやサーバーの脆弱性を付いて、例外処理を発生させてサービスを止めてしまう攻撃があります。
また、踏み台と呼ばれるクッラキングされたコンピュータから標的のサーバーに向けて行う攻撃を「DDoS攻撃（Distributed Denial of Service attack）」と言います。単一のコンピュータからのアクセスではなく踏み台となった数千というコンピュータからの攻撃なので防ぐことが難しいのが特徴です。

ソーシャルエンジニアリング(social engineering)

利用者や管理者などの会話を近くで、盗み聞きや盗み見などの方法でセキュリティ情報を入手しアクセスする方法です。例えばECサイトを例に取った場合、利用者になりすましてサポートセンターに問い合わせを行い、パスワードの変更依頼をかけて、新しいパスワードでログイン出来るようにする、と言った方法があります。本人確認が不十分だったり機密情報の取り扱い管理が不十分だとこのような方法で不正アクセスを許してしまう可能性があります。

クロスサイトスクリプティング(XSS：cross site scripting)

悪意を持ったユーザーがWebサイトのフォームなどから、JavaScriptなどのスクリプトを入力した時に、適切にWebサイト側で処理する仕組みが無いと、スクリプトがそのままHTMLに埋め込まれてしまい、ページを閲覧したユーザーのコンピュータで実行されてしまうという手法です。
スクリプトの内容によってはCookieの盗聴が可能なため、ログイン情報を取得できたり不正にショッピングサイトを利用することができたり、SNSなどのサービスを乗っ取ることが可能になります。

まとめ

Web周りの攻撃手口はイタチごっこという面もあり年々巧妙になっています。

知らない間に自社のホームページが乗っ取られて、ある日突然改ざんされていたり、情報流出をしてしまったり・・・
犯罪に巻き込まれるケースや甚大な損害を被る可能性にもなりますので、こういった多種多様なクラッギングの対策を行うことは必須だと考えています。

Webサイトのコンテンツも重要ですが、普段ひと目に触れない部分もしっかりと考え、対策をしていきましょう。