2019年08月08日 05時00分 公開
特集/連載

「シャドーIT」の隠れた通信も落とし穴に7pay事件で再考すべき「Webアプリケーション」のリスクと対策

「7pay」の不正アクセスなど、インターネット通信を利用するWebアプリケーションのインシデントが後を絶たない。Webアプリケーションのユーザー側と提供者側の双方から見て注意すべきリスクとは何だろうか。

[大久保 心織,TechTargetジャパン]
画像

 インターネットなどのネットワークを介して利用するWebアプリケーションが普及する一方で、攻撃者もそれを狙った不正行為を試みている。世間を賑わせた、2019年7月に発生した決済サービス「7pay」の不正アクセスは、その代表例だ。Webアプリケーションはありふれた存在であるだけに、サービス提供者にとってもユーザーにとっても、不正アクセスの問題は対岸の火事ではない。

 本稿はWebアプリケーションを狙った攻撃手法と、具体的な対策を紹介する。インシデントに備え、Webアプリケーションに伴うリスクと対策をいま一度理解しておこう。

攻撃の手口は4ステップ

 ネットワークセキュリティ分野に詳しいアカマイ・テクノロジーズの中西一博氏によれば、Webアプリケーションに対する攻撃は、以下のような箇所が対象になるという(図1)。

  • Webブラウザやスマートフォン向けアプリケーション
  • Webアプリケーションが稼働するWebサーバ
  • Webアプリケーション本体
  • Webアプリケーションと連携するデータベース
図1 図1 Webアプリケーションの構成と攻撃の対象になり得る箇所(出典:アカマイ・テクノロジーズの資料を基に編集部で一部変更)《クリックで拡大》

 上記の箇所を狙い、攻撃者は以下の4つのフェーズで攻撃を実施する。

  1. 偵察
  2. マッピング
  3. 特定
  4. 実行

1.偵察

ITmedia マーケティング新着記事

news110.jpg

20歳前後の女子の「ヲタ活」実態、7割超が「ヲタ」の自覚あり――SHIBUYA109 lab.調べ
around20女子のヲタク活動=ヲタ活に関する調査結果です。

news086.jpg

Twitter動画広告に新課金体系、動画の50%表示で6秒再生されたタイミングで課金
Twitter動画広告の課金方法に「動画の50%表示で6秒再生」が新しく加わった。

news043.jpg

インターネット運用型広告の出稿先、50%がGoogle 年間400億円分――EVERRISE調べ
EVERRISEは、インターネット広告媒体費の多くを占める「運用型広告費」のうち、同社のサ...