Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。
今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。
※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。
個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。
少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。
Copyright © ITmedia, Inc. All Rights Reserved.
ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。
PPAPのセキュリティリスクが指摘される中、「脱PPAP」の動きが加速している。その手段としては、「クラウドストレージを使う方法」「添付ファイル分離サービス」「TLS確認」3つが主に考えられるが、それぞれどのような特徴があるのか。
多くの企業が、パスワード付きZIPファイルとパスワードをメールで別送する手法(PPAP)の代替手段を模索している。そこで本資料では、代表的な3つの手法の中から「TLS確認機能」のメリットを詳しく解説する。
量子コンピュータの実用化が迫る中、既存の暗号化技術の脆弱性が危惧されるようになってきた。こうした中、量子脅威への対策として注目されるのが、「ポスト量子暗号(PQC)アルゴリズム」だ。その特長と、導入に向けた注意点を解説する。
機密データを高度なセキュリティ環境で管理することは、多くの企業にとって重要な課題になっている。その実現方法として、暗号化鍵による管理が注目されている。管理負担を軽減しながら暗号化鍵の管理を実現するにはどうすればよいのか。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...