サイト職人スタッフブログ

近年、ホームページへの攻撃が相次いで報告されています。しかし、大企業ではないから大丈夫だと思っていませんか。大企業ではなくても、大企業への不正侵入の踏み台にされるリスクはあります。また、ホームページの改ざんで、嘘の情報を掲載してしまう恐れもあります。今回は、セキュリティ対策について考えてみましょう。

サイバー攻撃

ブラックハッカーと呼ばれる人たちは、セキュリティの脆弱性を見つけてサイバー攻撃をしてきます。脆弱性とは、コンピュータ上にあるシステムの欠陥のことです。人が作り出すものには、必ず欠陥が存在します。100％完璧にできるものはありません。

そこを狙ってサイバー攻撃をしてきます。ここでは、代表的なサイバー攻撃について3つご紹介します。

クロスサイトスクリプティング(XSS)

サーバに送るデータの中に命令を埋め込み、データを表示させることをクロスサイトスクリプティングといいます。これを利用すれば、サーバにログインしなくてもページの表示や動作を変えることができます。

SQLインジェクション

サーバに送るデータの中にSQL文を埋め込み、データを表示させることをSQLインジェクションといいます。SQLインジェクションを利用すると、「おすすめのパソコンを探して！」という要求を、悪意あるSQLによって「おすすめのパソコンを探して！そして、自宅の住所やメールアドレスも教えて！」という要求になってしまいます。

もし、対策ができていなければ、勝手に個人情報が送信されるなどのトラブルが発生します。

クロスサイトリクエストフォージェリ(CSRF)

正規のアクセスから情報を抜き取り、そのまま他の処理を動かすことをクロスサイトリクエストフォージェリといいます。これを利用すれば、だれかになりすまして掲示板へ書き込むことができます。

他にも、身に覚えのないホームページでの商品購入や非公開にしていた記事の公開、パスワードの勝手な変更などが可能となります。非常に悪質性が高く、犯罪者が犯罪予告を書き込む際に、このサイバー攻撃が利用されます。

踏み台(バックドア)

バックドアを日本語訳すれば、裏口という意味になります。その言葉の通り、正規の表口ではなく裏口から侵入することをバックドアといいます。1度、サーバ内に侵入されると、他のサーバへのアクセスの起点となります。犯罪手口の踏み台となることから、踏み台とも呼ばれています。

踏み台にされたサーバは、被害者なのかもしれません。しかし、他のサーバからすると、こちらが加害者となります。

改ざん

サーバ内に侵入され、ファイルを書き換えられることを改ざんといいます。コンテンツを書き換えられた場合、偽の情報を公開することに繋がります。これは、ブラックハッカーたちの不正アクセスによって発生します。

改ざんされるということは、サーバ内に侵入されたことの現れで、企業としての信頼を失う可能性が高いです。

改ざんされた企業は、被害者なのかもしれません。しかし世間の目は異なります。改ざんへの対策をしていなかった企業が大きく責められます。1度失った信頼を回復することは難しく、企業は大きな損害を抱えることになります。

リスクを想定する

ホームページやサーバの脆弱性を狙ってサイバー攻撃や不正アクセスが起きる以上、常にリスクを想定しておく必要があります。

対応の費用・時間

サイバー攻撃や不正アクセスを受けた場合、ただちに企業は対策をとらなければいけません。情報漏えいを止めるには、費用と時間がかかります。将来的な利益の喪失を考えれば、数千万円ではとどまらず数億円の被害が出るケースも少なくありません。

あまりにも被害が大きく、倒産せざるをえない企業も存在します。つまり、個人情報を受け取るということは、サイバー攻撃を受けるリスクを常に想定して、対策の術を勉強しておかなければいけないということです。

信用失墜

サイバー攻撃を受けると、信用失墜につながります。“情報漏えいをするような企業は、信用することができない。”と、膨大な苦情の電話が入るかもしれません。有料会員サービスを提供しているのであれば、数百数千件の解約依頼があるでしょう。

なにかトラブルが発生した場合は、いかにして信用失墜を避けるのか早急に検討しなければいけません。

まとめ

大企業でなくても、セキュリティの脅威があることが分かっていただけたと思います。「サイバー攻撃をしてくるブラックハッカーが悪いのだ。」という考えは、許されません。他人の個人情報を受け取り、お金を稼いでいる以上、それ相応のリスクを負うことになります。

気の緩みから、信頼を失わないようにするためにも常に対策について考えることが大切です。次回は、その具体的な対策について考えていきましょう。