ホームページのハッキング手口とは?こんな攻撃に注意!

security_2165

近年、数多のホームページがハッキングを受け、情報漏えいや改ざんなどの被害に見舞われています。しかし、それらはどのような手口で攻撃されたのでしょうか?

その方法と対策、万が一攻撃を受けてしまった場合の対処方法についてまとめました。サイト運営者の方はもちろんのこと、利用者の方もしっかり対策しておくことをおすすめします。

1. ホームページをハッキングする手口

サイト内において実行されるハッキングで、よく使われる手口を解説します。セキュリティ対策が不足しているサイトだと、これらの手口でたやすくハッキングされてしまいます。

1-1. SQLインジェクション

SQLとは、データベースの管理・操作を実行するプログラミング言語です。このSQLを悪用してデータベースに不正な操作をおこなうのがSQLインジェクションになります。

SQL・HTMLインジェクションとは?2つの脆弱性による被害

2016.02.27

1-2. クロスサイトスクリプティング(XSS)

攻撃者がサイト利用者のブラウザ上で、任意の操作を実行できる脆弱性です。サイト訪問者を強制的に別のサイトへ飛ばしてウイルスをダウンロードさせる、お問合せフォームなどの入力時にキーボードの入力内容をキャプチャし、外部送信することも可能です。

また、Cookieの盗難も可能で、盗んだCookieを使用することで、お問合せフォームの確認ページなど利用者が表示していたページを、攻撃者に盗み見られる(乗っ取られる)可能性があります。

クロスサイトスクリプティング(XSS)とは | 対策と被害事例

2016.03.16

1-3. クロスサイトリクエストフォージェリ(CSRF)

攻撃者が掲示板などに興味を引くような文言と一緒にURLを貼り、これをクリックすると意図しない書き込みや操作をしてしまうという攻撃です。構造はクロスサイトスクリプティングと少し似ています。

以前にあったケースでは、掲示板に「指定の文言を書き込んで送信するURL」が書き込まれ、これをクリックするだけで、たとえば犯行予告のような書き込みを自動でおこなってしまうというものがありました。

この手口が使われると、上記のようにURLをクリックするだけで意図しない書き込みをしてしまうほか、個人情報のデータを送信するURLであれば、情報漏えいや金銭的な被害につながる可能性もあります。

1-4. クリックジャッキング

通常のサイトのページの後ろに、罠を設置した悪意あるサイトのページを重ねるという攻撃手法です。通常ページで、見たところ問題のないリンクを押したにも関わらず、重ねてある罠サイトのリンクを押したことになってしまいます。

罠サイトのリンクを押すと、入力した情報を罠サイト側に送信してしまうとか、掲示板などに意図しない書き込み(宣伝もしくは犯行予告など)をさせられるといった被害が考えられます。サイトが重ねられているのは見た目で判断できません。知らないうちに被害を受けてしまうのが特徴です。

クリックジャッキング攻撃の仕組みと対策方法

2016.03.08

1-5. 強制ブラウズ

サイトURLに英単語を入力することで、サーバー上にあるフォルダをのぞき見る攻撃方法です。具体的にいうと、「http://○○/」というサイトURLだった場合、アドレスバーに「http://○○/admin/」と入力して管理ページを探ったりします。

たとえば、サーバー上に管理ページヘのID・パスワードを含む「password」というフォルダを置いていて、かつアクセス制限をかけていないと、「http://○○/password/」と入力するだけで第三者もその情報を閲覧することができてしまいます。

2. ハッキングを目的とした不正ログインの手口

上記のように、サイトからおこなうハッキング手口のほか、サイト管理者・ユーザーになりすまして不正ログインする手口をご紹介します。これらを総称して、パスワードクラックと呼びます。

2-1. 総当たり攻撃

ブルートフォースアタックともいいます。ログインフォームにツールを使用してID・パスワードをランダム入力・試行する方法です。

ランダム入力されたID・パスワードの組み合わせがたまたま一致すると、管理画面もしくは会員ページに不正ログインされ、悪意ある操作(個人情報を盗んだり、金銭を奪うなど)がおこなわれる可能性があります。

2-2. 辞書攻撃

総当たり攻撃と同様、ツールを使っておこなう攻撃です。辞書に登録されている単語を使ってID・パスワードを入力・施行します。

覚えやすいからと、思いついたカンタンな単語をID・パスワードに設定していると、すぐに見破られてしまうので注意が必要です。

2-3. リスト型攻撃

過去に他サイトでID・パスワードを盗まれた経験があると、リスト化されて業者間で取引される場合があります。そのリストを購入した業者が不正ログインに使用するケースをいいます。

不正アクセスの対策!手口と事例を知って被害を防ぐ

2016.02.22

3. ハッキングするのはハッカーじゃない!?

あまり多くの方には知られていないものの、じつは身近なハッキング手口が「ボット攻撃」です。どういうものなのか、解説していきます。

3-1. ボットとは?

ハッカーが作成したツールのことです(クローラー・巡回プログラムともいいます)。このボットはコンピューターウイルスと同様にパソコンへ感染し、感染者のパソコンを遠隔操作してさまざまな悪事をはたらきます。

security_1043

ボット感染したパソコン群は「ボットネットワーク(ゾンビクラスタ)」と呼ばれ、ボットを散布した攻撃者がボットネットワークに指示を出すと、一斉攻撃なども実行可能です。代表的なボットとしては、Spybot やSdbot、Agobot(Gaobot)などがあります。

3-2. ボットがおこなう攻撃

ボットに感染すると、攻撃者の指示であらゆる攻撃をさせられてしまいます。どのような攻撃かというと、以下のようなものが挙げられます。

  • スパムメールの送信
  • 感染したパソコン内でのスパイ活動(スパイウェアと同様)
  • DoS攻撃(複数台が実行するとDDoS攻撃になる)
  • 感染対象となるセキュリティが甘いパソコン、サイトの調査
  • ほかのパソコンへもネットを通じて感染

3-3. ボットの厄介な部分

ボットは感染しても気づきにくいように工作したり、検出されにくくするような機能を備えています。どのように厄介な部分があるのかをご紹介します。

  • セキュリティソフトを停止させる
  • システムファイルと区別しづらい名前で行動する
  • ウイルス対策サイトなどへのアクセスを妨害する
  • 追跡されると自動消滅する種類がある
  • 自身をバージョンアップさせる機能を持つ種類もある
  • ソースコードが公開されており、改造できるため亜種が増えている

3-4. ボットの感染経路

ボットはウイルスと同様の経路からはもちろん、さまざまな場所から感染することが知られています。以下が実際に報告された事例です。

  • メールに添付されたウイルスのファイルを実行
  • メールに記載されたウイルスサイトのURLをクリックして感染
  • ウイルスが含まれるサイトを見て感染
  • ほかのウイルスに感染したとき、そのウイルスを介して感染
  • Winnyなどのファイル交換(P2P)ソフトから感染

4. どのようなサイトが狙われやすい?

ハッキングと聞くと、大手企業やそのサイトを狙うというイメージがありませんか?しかし、実際のところはそうとも限りません。

4-1. セキュリティの甘いサイトを無差別攻撃

ハッカーは前項で紹介したようにボットネットワークを使って、セキュリティの甘いパソコンやサイトを一斉に検索・攻撃します。

4-2. 大手より中小企業のほうが狙われやすい!

大手企業で個人情報を漏えいした、というニュースを見ることが多いかもしれませんが、実際はその倍以上の事故が中小企業で発生しているといいます。原因は対策・認識の甘さです。

多くの大手企業は狙われる可能性を意識して、セキュリティの部署を設置したり、社員教育に力を入れています。しかし、中小企業は狙われないだろうと思い込み、とくに対策していないという企業が非常に多いです。このため、ボットから脆弱性を狙われてサイバー事故に遭ってしまいます。

4-3. 実際の被害数はもっと多い!

サイバー攻撃の被害を受けたこと自体は、申告する義務がありません。そのため、攻撃が起こったことを表沙汰にしていない企業も多いです。また、サイバー攻撃を受けていること自体気づいていない企業もあります。

サイバー攻撃でサイト改ざんされたにも関わらず、それに気づかず何年もサイトを稼働させていたという企業も実際に存在しています。このため、ニュースで見る大手企業の情報漏えい事故がすべてではありません。

中小企業が狙われた事例を聞いたことがないから、対策に力を入れる必要がないだろう・・・などと思っていると、気づいたときには大損害となってしまう可能性も十分にありえます。

5. サイトのハッキング・被害を防ぐ方法は?

サイトやパソコンのセキュリティ対策が甘いと、ボットに検出されて攻撃を受けます。つまり、強固な対策を講じておけば検出されにくくなり、攻撃を受けても被害を抑止することができるのです。サイト利用者も運営者も、これらの対策は必須といえます。

5-1. セキュリティソフトを導入する

セキュリティソフトを入れているという方は多いかもしれませんが、まだの方は入れておくことをおすすめします。ただ、入れたらそれでいいわけではありません。

セキュリティソフトにはアップデートというものがあり、これをインストールすることで最新のウイルスに対応することができます。新しいウイルスから身を守るために、こちらも忘れずアップデートしておいてください。

5-2. ソフトウェアをアップデートする

Windows OSやフラッシュプレイヤーなどのソフトは、つねにアップデートがおこなわれていて、旧バージョンにあった不具合などを最新バージョンで修正したりしています。

そのため旧バージョンのまま使用していると、不具合(脆弱性)がそのままになってしまうので、その部分を狙ったサイバー攻撃を受けるリスクが非常に高いです。使用しているソフトで最新バージョンが出たら、早めのアップデートをおすすめします。

また、ソフトのアップデートだけおこなえばよいわけではありません。WordPressなどサイトを構築するソフトも最新版にしないと、脆弱性を狙われかねません。忘れずに更新しておいてください。

5-3. セキュリティ診断をおこなう

サイトに脆弱性があると、ボットから狙われやすくなります。しかし、サイトの脆弱性は知識がないとまったくわかりません。

そこで、セキュリティ会社の診断サービスなどを利用して脆弱性を調べ、対策するという方法があります一度、サイトを調査してみてどの部分に脆弱性があるのかを確認しておくとよいでしょう。

セキュリティ診断とは?概要とメリット

2017.06.08

6. 被害に遭ったときの対処方法

サイトがハッキングされると、Googleから警告を受けて気づくことがあります。

「このサイトは第三者によってハッキングされている可能性があります」原因と対処法を解説

2016.10.24

このような表示がされたら、サイトをまるごと消去か、セキュリティ会社のフォレンジックサービス(サイトやサーバー内のハッキングの痕跡を消去し、正常化する)で復旧するしか選択肢はありません。

放置しておくと、Google側から有害サイトと認定されて検索結果から除外されたり、訪問したユーザーがウイルス感染するなどの被害が考えられるので、早急な対応が求められます。

まとめ

サイバー攻撃といえば、「ハッカーが大手企業を狙っている」と思っていた方は多かったのではないでしょうか。たしかに、ハッカーは大手企業を狙うことがあります。

しかし、それよりもっと多いのがボットによる個人・中小企業をターゲットにした自動攻撃です。他人ごとと思わず、日ごろからセキュリティ対策をおこなって、被害を受けないよう注意してください。

【法人さま限定】いますぐサイバー攻撃を解決します!
セキュリティ事故調査、対策ご連絡ください。

「自社サイトがハッキングされたらしい!」「社内メールが送受信できない!」
そんなセキュリティトラブル、早急に調査・解決します!

サイバー攻撃の有無、被害状況がすぐに分かります。

【初期調査は無料!】

  • 最短即日の打ち合わせ、翌日から作業の実施可能
  • 調査、復旧作業はキャリア10年以上の専門エンジニア
  • どのような環境、状況の事故も柔軟に対応可能
  • 会見や弁護士の対応に関するサポートも可能
サイバー攻撃は時間の経過とともに被害が拡大します。
「なにかおかしい」と思ったら、すぐご相談ください!
security_2165