ホワイトハッカーはじめの一歩 ― 3大脆弱性を理解しよう
サイバー攻撃から身を守るためには、正しい知識と情報を身に付けておくことが大切です。こうした情報を元にしっかりと対策を講じておくことが「ホワイトハッカー」への第一歩に繋がります。
そこで今回は、ウェブセキュリティにおける3大脆弱性について解説します。セキュリティ対策を講じる上でとくに注意すべき3つの脆弱性について、この機会にチェックしておきましょう。
セキュリティにおける3大脆弱性とは?
ウェブセキュリティを考える上でまず重視されるのが、脆弱性です。セキュリティ上の穴や弱みを把握し、いち早く対策を講じることで、悪意あるサイバー攻撃の脅威からデータや情報を守ることができます。
なかでも、次の3つは「3大脆弱性」とも呼ばれ、ウェブセキュリティを語る上では必ず押さえておきたいポイントとなっています。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリー(CSRF)
1.SQLインジェクション
「SQLインジェクション」とは、サイトプログラムのバグ(セキュリティホール)を突いて、運営者に攻撃を仕掛ける方法を言います。
SQLとは、データベースを操作するためのプログラム言語の1つで、通常はこのSQLを利用してIDとパスワードを使いサイトにログインします。しかし、ここにバグが存在すると、攻撃者側はプログラムに不正なSQL文を紛れ込ませ、IDやパスワードを用いずにデータベースへアクセスできるように仕向けることができます。
つまり、誰でもデータベースにアクセスできる不正なSQL文を注入(インジェクション)し、セキリティを無効化するという訳です。
この手法を使って一度でもデータベースへアクセスされれば、データを丸ごと抜き出すことや、すべて削除することも可能。その手法の特徴から、被害が拡大しやすい攻撃方法の1つで、脆弱性が発見されれば直ちに修正を講じる必要があります。
2.クロスサイトスクリプティング(XSS)
「クロスサイトスクリプティング(XSS)」では、攻撃者が攻撃用のコード(サイトへのリンクなど)を用意して、被害者の情報を抜き取る方法を言います。
被害者が誤ってこのコードを踏んで(アクセス)しまうと、そこからログイン情報などを抜き出され、不正アクセスやなりすまりなどのターゲットとなってしまいます。サイトをまたいで(クロスして)攻撃を成立させることから、「クロスサイト」と呼ばれています。
個人レベルでの被害に限定されますが、例えば企業を装ったメルマガやSMSメッセージなど、身近なところにトラップ(罠)が潜んでいることから、3大脆弱性の1つに数えられます。
3.クロスサイトリクエストフォージェリー(CSRF)
3つ目は「クロスサイトリクエストフォージェリー(CSRF)」です。
CSRFの特徴は、攻撃者が直接手をくださず、被害者(第三者)の手を使って攻撃を仕掛けるという点です。例えば、攻撃者が用意した不正なURLをクリックすると、勝手にECサイトでの商品購入や、掲示板・SNS等への投稿が行われてしまいます。
あくまでも購入や投稿を行ったのは被害者となることから、意図しない内に自分が犯罪や違法行為に加担してしまう…といったケースも考えられます。自分が攻撃者側になってしまうという点は、非常に巧妙化された悪意ある攻撃方法と呼べるでしょう。
まとめ
今回は、ウェブセキュリティにおける3大脆弱性の概要を解説しました。
ご紹介した3つの攻撃方法に共通するのは、いずれも攻撃者側単体では成立せず、あくまでもサイトのセキュリティホールといった脆弱性を突いて攻撃を仕掛けるという点です。言い換えれば、正しい対策が講じられていれば、こうした脅威からサイトを守ることができるということ。
KRAF(クラフ)では、こうしたセキュリティの脆弱性を診断し、正しい対策方法をお客様に届ける仕事を担っています。今後ますますニーズが高まるセキュリティ分野で、私たちと一緒に働いてみませんか?
まずは採用情報から、お仕事の内容や私たちの想いを覗いてみてください。