今回は不正アクセスについて、まとめていきます。
賠償など、大きな問題に発展しかねないセキュリティに関する問題なので、ぜひご覧ください。
不正アクセスとは
- 他人のID・パスワードを使ってシステムに侵入する行為
- システムの不具合を利用して、アクセス制限を回避して侵入する行為
- 標的システムを利用するために、そのネットワークのゲートウェイアクセス制限を回避する行為を行ってシステムを利用する行為
本来できないはずの操作が出来てしまったり、見えるべきでない情報が第三者に見えてしまうようなバグや不具合を※セキュリティホールと言います。
これを悪用されると盗聴、改ざん、なりすまし、乗っ取り、遠隔操作等につながります。
※セキュリティホールについては、詳しくはこちら
不正アクセスで起こる被害
- ホームページの改竄
- 他サーバーやパソコンへの攻撃の中継に利用
- 個人情報などのデータ流出
- サーバーやサービスの停止
- バックドアを仕掛けられる
IPA(情報処理推進機構)では最近の動向を公開しています。https://www.ipa.go.jp/files/000100440.pdf
不正アクセス対策
最新バージョンへのアップデート
セキュリティホールへの攻撃を防ぎ、安全な状態を保つには最新版の修正プログラムを適用するのが一つです。
現バージョンでバグが見つかった場合、アップデートの案内や修正パッチなどが配布されるはずなので、それを速やかに適用させましょう。
具体的にはWindowsの更新プログラムなどが例として挙がります。
ファイアウォールの設置
ファイアウォールとはインターネットとネットワークの境界に設置する通信に関する仕組みです。
インターネットと社内ネットワークを行き来する通信データを監視し、あらかじめ決めたルールによってデータの転送を許可するかどうかを決めます。
ファイアウォールは通信データを監視しますが、電子メールの内容は理解できないため、メール添付のウイルスからは保護できません。こちらは専用の対策プログラムが必要です。
IPスプーフィング対策
不正アクセス対策のため「特定のIPアドレスからの接続のみ可能」という制限をしている場合に、送信元IPアドレスを偽装して攻撃する手法がIPスプーフィングです。ここでもファイアウォールが対策として使われます。
不自然なIPパケットをファイアウォールで破棄することで社内ネットワークへの不正アクセスを防止できます。
権限制御での運用カバー
管理者権限を守るために、WebサーバーやDBサーバーへのアクセスを制限し、特定の管理用端末からのみのアクセス可能とする運用です。
管理できる端末を制限することで、脅威にさらされる母体数を減らします。
ディレクションで考えること
ディレクションの際のサーバー提案については慎重にしたいです。AWSなど、細かく仕様を調整できるものの方がおすすめです。
サーバーの構成については、Webサーバーを2台用意して、データベースなどは別で分けた構成の方が望ましいです。
サーバーを一つにまとめると、攻撃があった際に、すべてに影響が出る場合があります。
Webとデータベースを切り分けて、データベースには特に不正アクセスされにくいようにセキュリティシステムを導入するなど、工夫が必要です。
しかし、不正アクセスに対する仕組みを全力で実施すると、予想以上にお金がかかります。
サーバーの保守費用だけで、月額数十万円かかることも珍しくありません。そこは発注者と、どこまで予算をかけられるのか、リスクを許容できるのかを話し合いましょう。
特に、決済情報をデータベースで保持する場合は、注意が必要です。
最近の事例
最近起きた不正アクセスによる大きな問題へ発展した事例です。
マッチングサービス
某マッチングサービスのクラウドサーバーに不正アクセスが発生し、年齢認証に用いられる資料の画像データが171万1756件(アカウント数)が流出した。
Omiaiの場合は脆弱性をついた攻撃ではなく、正規データリクエストを装っていたことから、ファイアウォールを乗り越えたとみられる。
コメント