PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

Webサイトの脆弱性放置の危険性

Webサイトの脆弱性放置の危険性

Webサイトの脆弱性が放置されていた場合、どのような被害が生じるか、代表的なものを3つ紹介します。

クレジットカード情報窃取被害

ECサイト等のオンラインショッピングサイトが主なターゲットとなり、決済に使われるクレジットカード情報が窃取される被害です。不正なJavaScriptコードがオンライン決済ページへ挿入され、Webサイト利用者が商品等を購入する際に入力したクレジットカード情報が攻撃者のサーバへ送信されます。入力されたクレジットカードのセキュリティコードまで送信されてしまうため、容易に不正利用されてしまいます。

この被害にあったページは、見た目に違和感はなく、クレジットカード決済も正常に処理され、購入した商品も届くため、Webの利用者や、運営者も、被害にあっている事に気付く事が難しいです。クレジットカード会社から、Webサイト運営者に対する被害疑いの申告により調査を行い発覚するケースが多くみられます。

 

2020年末の事例では、オンラインショッピングサイトで2ヵ月の間に4万件のクレジットカード情報が窃取され、200件近くが不正利用されたという事例が発生しています。このような、大規模な被害も発生していますが、中・小規模のオンラインショップが、数百~数千件程度の被害にあうケースが多発しています。

改ざん被害

昨今の改ざん被害は、悪質サイトへ誘導するケースが多くみられます。悪質サイトの代表的なものに以下があります。

・サポート詐欺サイト
ウイルスに感染していると偽の警告を表示し、ウイルス対策ソフトウェアのインストールと称しウイルスに感染させる。ウイルス対策ソフト購入を促しクレジットカード情報や個人情報が窃取するなど、複数パターンがある。

・当選詐欺サイト
商品に当選したと偽のポップアップ画面を表示し個人情報の入力を促し窃取する。

・偽ECサイト
偽のオンラインショップ画面を表示しクレジットカード等の情報を入力させ、入力情報を窃取する。

これらの被害では、Webサイトのトップページに訪問者を悪質ページへリダイレクトするJavaScriptが挿入されるケースが多くみられます。これらの悪質サイトは、本来訪問したWebサイトとは関係がなく内容も不自然であるため、訪問者が気付きやすいですが、検索サイト経由の場合のみ表示されるよう細工を施し、Webサイト運営者に気付かれないよう細工するケースも見られます。直接的な実害は少ないですが、企業イメージの低下や、信頼の失墜は免れません。

乗っ取り被害

これは、Webサイトにバックドアが仕掛けられ、文字通りWebサーバが乗っ取られてしまう被害です。WebShellというバックドアプログラムが挿入され、攻撃者がインターネトを経由し、いつでもWebサーバをコントロールできます。 攻撃者に乗っ取られたWebサーバが個人情報や金融情報等の重要な情報を持っており、これらの情報が暗号化や適切なアクセス制御が行われていない場合は、大規模な情報漏洩被害が発生します。 重要な情報を持たないWebサイトの場合でも、他のサーバへの攻撃の踏み台として利用されることがあります。具体的には、メール送信プログラムがインストールされ、ウイルスを拡散するような大量のスパムメールを配信するといった被害が発生しています。

以上、Webサイトが攻撃を受けた場合の代表的な被害例を挙げました。これらの攻撃は、Webサイトの脆弱性を悪用する事で発生します。 個人情報のような重要な情報を持たないようなWebサイトであっても、他者を攻撃したり、Webサイトの訪問者に間接的に被害を与える加害者となり得るため、日頃の脆弱性対策が重要となります。

セキュアブレインは、Webサイトの脆弱性対策として、自動でWebサイトの脆弱性を診断するサービス「GRED Web セキュリティ診断 Cloud」を提供しています。無料トライアルもございます。ぜひご検討ください。

GRED Web セキュリティ診断 Cloud紹介ページ
https://www.securebrain.co.jp/products/gwsvc/index.html

GRED Web セキュリティ診断 Cloud無料トライアルお申込み
https://www.securebrain.co.jp/campaign/form/