検索
特集/連載

あのショッピングサイトがサイバー攻撃の標的になる技術的理由脆弱なアプリケーションやプラグインが狙われる

ECサイトを狙った攻撃が増えている。決済情報などの機密データを有しているだけでなく、サーバが脆弱である場合が多いため、攻撃者にとって格好の標的になっているのだという。新たな調査リポートで明らかになった。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 クレジットカードの決済情報など機密データを取り扱うEC(電子商取引)サイトを標的とした攻撃がますます増えている。ECサイトを容易かつ広範に不正利用するための手段として、脆弱なアプリケーションやサードパーティー製プラグインが格好の標的になっている、と新たなリポートが伝えている。

 米Trustwaveは、計691件のデータ侵害について世界24カ国の企業から情報収集し、「2014 Global Security Report」(2014年グローバルセキュリティリポート)にまとめた。データ侵害件数は、前年のリポートから50%以上の増加となった。また、攻撃の多くは金銭的利益を狙ったものであることが分かった。

 同社が調査した全攻撃のうち3分の1は、POS(販売時点情報管理)システムを狙ったもので、盗まれた全データの19%はPOS取引で使用された決済カードのものだった。Trustwaveで脅威インテリジェンス担当マネジャーを務めるカール・シングラー氏は、「POS攻撃が依然としてまん延している一方で、多くの国で“Chip-and-PIN”と呼ばれるクレジットカード決済技術の採用が増加している。Smart Card Alliance(米国の非営利のスマートカード推進団体)の推定では、ヨーロッパの一部で、端末の95%がこの技術に対応している。そのような環境から決済カードのデータを盗むことは、もはや容易な試みではない」と述べている。

 その結果、攻撃者はこのところ、目的達成が容易なターゲットを狙うようになっているという。実際、Trustwaveのリポートによると、攻撃の54%がECサイトを狙ったものであり、3分の1強のデータがこのようなECサイトの決済カード情報から盗まれている。

 ECサイトなどのWebサイトへの攻撃は、機密データが保存されているというだけでなく、サーバが脆弱である場合が多いという理由から、攻撃者にとって魅力的だとシングラー氏は説明する。実際、Trustwaveが2013年にスキャンした全てのアプリケーションの96%に、深刻な脆弱性が少なくとも1件は含まれていた。同氏はこうした脆弱性について、データ漏えい、リモートコード実行、権限昇格攻撃、さらにはセキュリティコントロールの回避を許可しやすいと定義している。

 こうした傾向がみられるのは、多くの組織でセキュリティが重視されていないためだ。特にアプリケーション開発者は、基本的なセキュリティ対策を実装するよりも、企業の競争力を高める機能を製品に盛り込むことにこだわっていることが原因である、とシングラー氏は主張する。その結果、昔から良く知られており、多くの対策が確立されているはずのSQLインジェクション攻撃が、Trustwaveの記録によると、全てのシステムへの侵入の8%をいまだに占めている。

 同氏によれば、もっと多くの企業、特に社内にセキュリティ専任者がいないような中小企業は、第三者機関にコード監査を依頼したり、あるいは無償で提供されているオープンソースのセキュリティツールを使用したりするだけでも、基本的なアプリケーション脆弱性をスキャンすることができるという。だが、それでも組織がより安全な開発プラクティスを採用するまで、見掛け倒しのソフトウェアセキュリティは、今後も問題として残り続ける可能性はある。

 「アプリケーション開発において、セキュリティは一般的に後回しにされ、軽く扱われる傾向にある。そうした理由から、ほとんど全てのアプリケーションは、少なくとも1つは深刻な脆弱性を残したままリリースされる」(シングラー氏)

プラグインのセキュリティも問題

 同リポートによると、脆弱なアプリケーションだけが、企業システムとWebサイトのセキュリティ侵害を招いているわけではないという。Trustwaveは、セキュアなWebゲートウェイ技術により収集されたデータを使用して、同社が検出した全てのエクスプロイトの85%に、少なくとも1つのサードパーティー製のプラグインが関与していたことを明らかにした。

 特に、米OracleのJavaアプレットは依然として、多くのWebベースクライアントの脅威の中心にあり、さまざまなJavaの脆弱性を悪用した攻撃要因の78%を占めている。比較すると、ゼロデイ攻撃に対するAdobe Flashの脆弱性は2013年に3件見つかったが、これらのFlashの脆弱性を悪用していたのは、Trustwaveが発見したエクスプロイトの5%にすぎなかった

 「FlashからHTML5へ移行する流れは、主要なモバイルプラットフォームがFlash非対応になってきたことで加速され、米Adobe Systemsのメディアプレーヤーを悪用するエクスプロイトの数は今後さらに少なくなるだろう。しかし、企業は完全にFlashを無効にすることを検討すべきだ」とシングラー氏は述べる。Trustwaveのリポートでは、エクスプロイトの2%がAdobe Readerの脆弱性を狙っていると報告されている。こうした脆弱性を少なくするために、別のPDFリーダーを利用することも企業のリスクを軽減する選択肢の1つかもしれないが、必ずしも代替のPDFリーダーの方が安全であるとは限らない、とシングラー氏はいう。

 「サードパーティーのプラグインの多くには脆弱性がある。それと同じように、サードパーティーのPDFリーダーにも脆弱性が含まれる。FlashとReader、そしてJavaが多くの攻撃者のターゲットになっているという事実は、Flashを無効にして別のPDFリーダーに移行することが間違いなく有効であろうことを意味する。しかし、必ずしも確実な防護策とはいえない」(シングラー氏)

 このような措置は役立つかもしれないが、多くの組織やユーザーがいまだに基本的なセキュリティ上の慣行にすら従っていないと、同氏は警告する。例えば、Trustwaveが検出したシステムへの初めての侵入のほぼ3分の1は、脆弱なパスワードが原因であり、全く安全とはいえない「123456」というパスワードが最も多く使われていたという。

 また、セキュリティ侵害10件のうち7件以上が被害に遭った企業ではなく、第三者によって検出されている。シングラー氏はこの統計を引き合いに出し、この現実は多くの企業が侵入検知システムを有効にしたり、定期的にログをチェックしたりするなどの基本的なセキュリティ対策を怠っている結果であると述べた。

 さらに同氏は、このような初歩的な対策だけでも、大きなセキュリティ上のメリットはあると語る。これはTrustwaveの報告でも明らかになっている。第三者によって検出されたセキュリティインシデントを封じ込めるまで企業は2週間かかっていた一方、自社でインシデントを検出した場合には、例えば、たった1日で問題を解決したケースもあったという。

 「2013年には多方面からの異なる攻撃を数多く見てきたが、それにもかかわらず、非常に一般的なセキュリティコントロールがまだ正しく導入されていないケースもみられる。全ての組織は、単純な検出の仕組みとより強力なパスワードを使うだけで、もっとうまくセキュリティの問題に対処できるはずだ」(シングラー氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る