Webサーバーの脆弱性の放置は危険がたくさん
コーポレートサイトだけでなく、自社ポータルサイトなど企業がインターネット上に公開しているWebサイトは多数存在しています。Webサーバーにおける脆弱性というと、1年に1回実施していれば良い方で、公開タイミングにチェックし、その後の診断は実施していないというサイトも多いのでは?と思います。
脆弱性診断の必要性を感じながらも、なかなか予算などの問題で実施できていない管理者さまへ、今回は脆弱性診断をしないことで引き起こされる問題についてご紹介できればと思います。
1.Webサーバーの脆弱性を放置しておく危険性
Webサーバーはインターネット上に公開されているため、攻撃対象となりやすい性質を持っています。脆弱性を放置することで、攻撃者はサーバーに不正にアクセスし、侵入を許してしまえば、サーバー上で攻撃者が様々な操作を行えるようになります。
例えば、以下のような問題が発生する可能性があります。
・Webサイトの改ざん
・機密情報の漏えい
・踏み台としての利用
・内部へのマルウェアの感染
Webサイトの改ざんにより、様々な被害が発生します。Webサイトの内容が改ざんされ意図しない内容を表示するという単純なものから、Webサイトを訪れたユーザーに対して不正なプログラムを強制的にダウンロードさせようとする行為や不正なサイトへ転送させる行為など攻撃者の目的によって多様な攻撃に悪用されてしまいます。
機密情報の漏えいという観点で、特に危険なのは、Webサイトで収集される顧客の個人情報や機密データへのアクセスです。攻撃者はこの情報を盗み出し、不正な目的で使用する可能性があります。顧客のID、パスワード、クレジットカード情報など、多くの機密情報が危険にさらされます。また、脆弱性を利用して直接機密情報の窃取が困難な場合、Webサイトの改ざんにより偽のログイン画面を表示させるなどの方法で機密情報を窃取するということも考えられます。
また、踏み台としての利用も挙げられます。これは、攻撃者が脆弱なWebサーバーを乗っ取りリモートから操作し、他のサーバーへの攻撃やネットワークに侵入する際の、最初の足がかりとして使用します。踏み台を利用した攻撃は、攻撃者の追跡と正体を暴くことを困難にします。
内部へのマルウェアの感染では、まず、攻撃者は、Webサーバーの脆弱性を悪用して悪意のあるプログラムやマルウェアをWebサーバーに感染させます。このマルウェアはWebサーバー上で動作し、内部ネットワークの他のシステムに感染を広げる可能性があります。組織内部にマルウェアが侵入すると、機密情報の漏えい、システムの障害、重大なセキュリティ問題が発生する可能性が高まります。
Webサーバーの脆弱性について考えると、多くの人々が最初に思い浮かべるのはSQLインジェクション攻撃などによる情報漏えいやデータの改ざん、クロスサイトスクリプティングによるWebサイトの改ざんです。しかし、実際のところ脆弱性が悪用された結果、攻撃者の踏み台となり犯罪行為に加担させられる事例や、マルウェアが侵入する入口として利用され、組織内部へ被害が拡大する可能性も考慮する必要があります。
2.安全なWebサイトの運営は日々の運用が大切
Webサーバーへの保護という観点では、「WAF(Web Application Firewall)の設置や、IDS/IPSなどの侵入検知機能をもつUTM(Unified Threat Management)の導入が挙げられます。
IPAでも「安全なウェブサイトの作り方」(https://www.ipa.go.jp/security/vuln/websecurity/about.html )を公開しています。このようなガイドラインを参考にWebサーバーのセキュア実装をすることは重要です。しかし、後述するように新たな脆弱性が日々確認されており、先述のような影響を考えると、Webサーバーの脆弱性を確認せずに運用することは組織にとって大きなリスクとなります。
同じくIPAが公開している「ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2023年第四半期(10月~12月)] 」の中で、ソフトウェア(WordPress等も含む)とウェブサイトの脆弱性の推移について記載があります。
出典「ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2023年第四半期(10月~12月)] 」
https://www.ipa.go.jp/security/reports/vuln/software/2023q4.html
直近でも、1就業日あたり3.93件の報告があります。このように日々確認されている脆弱性に対して、定期的な脆弱性診断とOSやミドルウェア等のアップデートを実施し、サーバーのセキュリティを確保するための対策を講じる必要があります。
セキュアブレインでは、「セキュリティ診断サービス(ITインフラ/Webアプリ/ソースコード診断)」(https://www.securebrain.co.jp/products/web_it/index.html )や、「GRED Webセキュリティ診断 Cloud」(https://www.securebrain.co.jp/products/gwsvc/index.html )というWebサイト自動診断ツールを提供しています。「セキュリティ診断サービス」は、セキュリティの専門家が分析し、セキュリティリスクの評価をレポートします。自動診断ツールでは、OWASP TOP10にあるような代表的な脆弱性について定期的に診断することで、より早く脆弱性を見つけることが可能になります。
セキュリティ意識を高め、適切な対策を講じることで、組織は攻撃から自身を守ることができるようになります。
「GRED Webセキュリティ診断 Cloud」には無料トライアルがございますので、お気軽にお申込みください。
「GRED Webセキュリティ診断 Cloud」 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/
