こんにちは。3年目のユーヤです。
近年、著名な企業やインフラ、さらには自治体や省庁など、さまざまなサービスがサイバー攻撃の被害を受けたというニュースを耳にする機会が増えています。攻撃の種類や手口は多岐にわたりますが、Webサイトに「脆弱性」があると、その対象になりやすくなってしまいます。
今回のブログでは、「脆弱性」とはなにか、およびその発見に役立つ診断ツールをご紹介します。
「脆弱性」とは?
まずはWebサイトにおける「脆弱性」とはなにか、について。
一言で言うなら、Webサイトやサーバーにおける「セキュリティのスキマ」のことです。この「スキマ」が悪意ある第三者に見つかってしまうと、これ幸いと攻撃を受けて、以下のようなことが起こり得ます。
- サイトの内容を改ざんされる(広告への誘導や悪質なコンテンツ、その他いたずらなど)。
- お問い合わせフォームなどから個人情報を抜き取られる。
- サイトをコンピュータウイルスの配布元にされてしまう。
こうした被害を避けるために、脆弱性を放置せず、見つけ次第潰していくことが重要です。
代表的な脆弱性
では、脆弱性にはいったいどのようなものがあるのでしょうか? 代表的なものをいくつかご紹介します。
1. SQLインジェクション
お問い合わせフォームの入力欄にコンピュータへの命令文となる特殊な文字列(SQL文)が打ち込まれることです。打ち込まれた命令により、データベースの中身が改ざんされたり、第三者に送信されるなどの被害が起こる可能性があります。
2. XSS(クロスサイトスクリプティング)
コメント欄を開放している場合、訪問者が入力したコメントなどに悪質なスクリプトが含まれていると、サイトを訪れた他のユーザーに勝手にポップアップが出たり、情報が抜き取られたりします。
3. CSRF(クロスサイトリクエストフォージェリ)
サイトの管理者ユーザーがログイン中に悪質なサイトへのリンクや画像をクリックしてしまうことで、ログイン中のサイトに不正な命令が送信されてしまう、という攻撃です。
4. ソフトウェアの更新漏れ
WordPressなどのCMSやそのプラグインは、バージョンの更新を行わないと既知の脆弱性から攻撃を受ける可能性が高くなります。こまめな更新が重要です。
ここに挙げた以外にもさまざまな事象が脆弱性となる可能性があります。ですが、その多くは初心者向けの診断ツールでもある程度チェック可能です。次項では、おすすめの診断ツールをご紹介します。
おすすめ診断ツール
脆弱性の発見には、Webサイトの知識の有無や多寡に関わらず、診断ツールを利用することがおすすめです。人力でやるには時間やコストがかかりますし、ヒューマンエラーの発生を避けるためにもツールにお任せしてしまいましょう!
今回は、無料で使えるツールを3つご紹介いたします。すべて英語のサイトですので利用には多少難しい部分もあるかもしれませんがご容赦ください。
1. Sucuri SiteCheck
セキュリティ企業のSucuri(スクリ)社が運営するサービスです。URLを入力するだけで、マルウェアやブラックリスト登録、セキュリティ上の弱点をチェックできます。
2. WPScan
WordPress限定にはなりますが、こちらもおすすめです。本体に加えプラグインやテーマまで、バージョンごとの脆弱性情報を見ることができます。商用利用は有料になりますのでご注意ください。
3. Detectify
Googleのセキュリティ専門家などが開発に関与した、本格的な診断ができるサービスです。有料ですが、2週間の無料トライアルがあります。サービス側から意図的に攻撃を仕掛けることによって、高度に脆弱性を診断することができます。
おわりに
セキュリティ対策と聞くと難しそうに思えるかもしれませんが、その多くは不要なプラグイン等を削除したり、こまめにバージョン確認を行うことで対処が可能です。早期に対処するためにも、診断ツールを使ってWebサイトの状態を確認してみましょう!
