目次

  1. 脆弱性とは
  2. 脆弱性とバグの違い
  3. 脆弱性のリスク
  4. 脆弱性を狙われたカプコンへのサイバー攻撃の事例
  5. 脆弱性の対策が必須なウェブサイトとは
  6. 脆弱性の具体的な対策と手順
    1. 脆弱性の診断と対処方法の検討
    2. サイト構築時に取り組みたいこと
    3. サイト構築後に取り組みたいこと
    4. サイト運営形態別に変わる確認項目

 IPAによると、脆弱性とは、情報セキュリティ上の「弱点」、「ほころび」のことを指します。

 コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃するときの弱点となるもののことです。たとえば、OSやソフトウェアが最新のバージョンでないと、最新の悪用手口に対応できていなかったりします。

 OSやソフトウェアはプログラムの不具合やミスなどによって正しく動作しないことがあります。これは「バグ」と呼ばれるものです。正常に作動しているけれども、外部からの攻撃の弱点となる「脆弱性」とは別の物です。

 インターネット上の悪意のある攻撃は、脆弱性をねらいます。その結果、次のような被害に遭うことがあります。いずれも場合も顧客や取引先の信用を失う重大な問題です。

  • 顧客情報が漏れてしまった
  • 会社の重要な情報が流出した
  • ウェブサイトが改ざんされ、コンピューターウイルスをばらまいてしまった
  • 取引先のサイトへのサイバー攻撃に使われる

 2020年には、最大約39万人分の個人情報が漏洩した可能性があるゲーム大手のカプコンへの脆弱性をねらったサイバー攻撃がありました。

 カプコンの説明によれば、2020年10月、北米現地法人の予備の旧型VPN装置(インターネット上にセキュリティの高い仮想の専用ネットワークを敷く仕組み)にサイバー攻撃を受け、社内ネットワークへ不正侵入されました。

 当時、すでに新たなVPN装置を導入していましたが、新型コロナウイルス感染急拡大によるネットワーク負荷の増大で、通信障害が起きたときの緊急避難用として旧型が1台残っており、これがサイバー攻撃の対象となりました。

カプコンのシステムの脆弱性をねらったサイバー攻撃のイメージ(カプコンのプレスリリースから引用)

 その後、旧型のVPN装置を経由して米国と国内拠点の機器への乗っ取り行為があり、個人情報が盗まれました。カプコンもサイバー攻撃への対策を進めていましたが、新型コロナの感染拡大でインフラ整備を優先したため、まだ途中だったといいます。

 一連の攻撃の後に、2020年11月1日夜に米国と国内拠点における一部の機器がランサムウェアに感染させられ、各機器内のファイルが暗号化される被害を受けました。

 11月2日に社内システムへの接続障害がきっかけで、ランサムウェアの攻撃が発覚。被害を受けた端末で「Ragnar Locker」を名乗る集団からの脅迫メッセージを発見し、大阪府警に通報しました。

 現在は、外部の専門家を招いて次のような対策しています。

  • 侵入の疑いのある機器全台をクリーニング
  • 旧型VPN装置を廃棄。新しい装置は対策済み
  • 外部との接続を常時監視するサービスを導入
  • 機器の不正な挙動およびコンピュータウイルス感染の早期検知システムを導入
  • 業務用アカウントの見直し

 サイバー攻撃の被害に遭うのは、大手企業だけではありません。最近では情報セキュリティ対策の甘い中小企業が狙われるケーズも増えています。

 自社サイトの脆弱性が心配な経営者は、IPAのウェブサイトのセキュリティ対策のチェックポイント20ヶ条で、確認してみてください。

 簡単にまとめると、下記のいずれかに当てはまる場合は早めに対策を取りましょう。

  • 顧客情報のほか、設計情報、試験データなど取引先の重要な情報がある
  • ユーザ登録画面や入力フォーム、サイト内検索などの機能がサイトにある
  • サイト構築後にメンテナンスしていない、構築時のソフトが最新でない

 脆弱性の対策として、まず自社サイトの状況やサイト構築や運用のときのポイントを把握し、セキュリティを担当する人とその作業内容を決めましょう。

 さらに、トラブル時に備えて社内連絡先と、公開停止の判断を下す人を決めておくことが大切です。必要に応じて外部の専門家の助けを借りることも重要ですが、作業と責任の範囲をあらかじめ話し合っておきましょう。

 まずは、脆弱性について、基本的な対策が出来ているかどうかを診断するIPAの「ウェブ健康診断」を試してみましょう。
 対処法を知るために、IPAへの届出が多かったり、影響が大きかったりする脆弱性を取り上げたIPAの資料「安全なウェブサイトの作り方」を参考にしてください。

 具体的には、下記のような11の手口の用語解説から紹介しています。専門用語も多く、社内だけで対応が難しい場合は、後ほど説明するように外部の専門家の手を借りるのも一つの方法です。

  • SQL インジェクション
  • OS コマンド・インジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF(クロスサイト・リクエスト・フォージェリ)
  • HTTP ヘッダ・インジェクション
  • メールヘッダ・インジェクション
  • クリックジャッキング
  • バッファオーバーフロー
  • アクセス制御や認可制御の欠落

 サイト構築時に気を付けたいポイントは4つです。

  • 自社のリソースやスキルに応じた運用形態を選びましょう。
  • クラウドサービスの利用前に安全に利用方法を知りましょう。
  • 新たにサイトを構築する前にセキュリティ要件を決めましょう。 
  • 構築ツールなどのソフトウェアは最新版を使いましょう。
  • 使っているソフトウェアの名前やバージョンは控えましょう。
  • サイトの稼働前に脆弱性検査をしましょう。 

 自社サイトを構築と言っても、プラットフォーム上への出店から自社運用まで様々な運用形態があります。運用形態によって、委託先やサービス提供者のセキュリティ対策の作業範囲も変わります。

 その場合は、確認項目を整理したIPAの「ウェブサイト開設等における運営形態の選定方法に関する手引き」を参考に対策に取り組んでみてください。