プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
Webタスクチーム
ユービーセキュアのWebアプリケーション診断全般をコントロールしている集団。システム状況を見極め適材適所な診断プラン提供を得意としている。顧客要望に沿った診断プランの提案を多数実施。
本当に「コーポレートサイトはリスク低め」なの?
Webタスクチームのみなさんこんにちは!今日のテーマは「コーポレートサイトの脆弱性診断」だそうですね。でもコーポレートサイトは公開情報が載っているだけだし、業務システムなどと比べてセキュリティリスクはさほどないような気もするミア。
Webタスクチームさん
そう考えている方が多いのか、セキュリティ対策がつい後回しにされがちですが……実は、気付かぬうちに脆弱性が存在していて、企業の信頼性や事業運営に深刻な影響を及ぼす可能性もあるんですよ。
キャッ!言われてみればたしかに、勝手に内容を書きかえられたりしたら大変ミア!
Webタスクチームさん
それどころか、コーポレートサイトの脆弱性を利用した攻撃により、顧客情報が漏えいしたケースも報告されているんです。このようなリスクを未然に防ぎ、企業や顧客を守るために重要なのが、脆弱性診断を定期的に行うなどのセキュリティ対策です。
コーポレートサイトの立ち位置とそのリスク
顧客情報漏えいは怖いミア……それでなくても、攻撃を受けて「セキュリティ対策が甘い」なんてことになったら困るミア!
Webタスクチームさん
そうなんです。コーポレートサイトは、企業が自社の情報を発信する重要なプラットフォームです。SNSの普及により、企業による情報発信の媒体は増えていますが、それでもなお、顧客や投資家、ユーザーなどのステークホルダーが最初にアクセスするのはコーポレートサイトであることが多いですからね。
企業のブランドイメージや価値観を発信する重要な媒体であり、企業の「顔」ともいえますから、攻撃を受けてしまうと、それによって企業の評判が悪化したり、信頼が低下したりするリスクがあります。
技術の進歩による攻撃バリエーションの増加
コーポレートサイトはどういうところが攻撃されやすいミア?
Webタスクチームさん
コーポレートサイトはシンプルな機能構成を持ち、一見静的な画面に見えることが多いですが、実際にはクライアント側で動作するJavaScriptなどの技術が広く利用されています。これにより、静的に見えるサイトでも、裏では動的な要素が複雑に組み合わさっていることがよくあります。クライアント側で動作する技術の進歩により、攻撃者は新たな脆弱性や攻撃手法を駆使してコーポレートサイトに攻撃を仕掛けられるようになっているんです。例えば、次のようなものですね。
クライアント処理に起因するリスク
- クロスサイトスクリプティング攻撃
ユーザーの入力値や個人情報が外部のサーバーに送信されることで機微情報が漏えいする - クリックジャッキング攻撃
ユーザーに悪意のあるページをクリックさせ意図しない動作をさせる
コーポレートサイトによく見られる機能で注意が必要なリスク
- お問い合わせフォーム
フォームを悪用したCSRF(クロスサイトリクエストフォージェリ)攻撃、セッションを悪用した攻撃 - 他社が提供しているコードの使用
そのコードに脆弱性があった場合、サイト全体にリスクが生じる
いろいろな攻撃手法があるミア!
攻撃の足掛かりとしての「情報収集」
Webタスクチームさん
コーポレートサイトで一般に公開されている情報や、意図せず公開されてしまった内部情報、サイトの構成情報などが狙われることもあります。こうした情報が攻撃者の手に渡ることで、標的型攻撃やソーシャルエンジニアリングの足掛かりになったりするんですね。「情報」が単なるデータにとどまらず、「価値ある資産」になったがゆえのリスクともいえます。
サイトの情報が狙われ、さらなる攻撃につながるなんて……。
実例!コーポレートサイトのセキュリティ事故
Webタスクチームさん
大手企業のコーポレートサイトが攻撃を受け、顧客情報が漏えいする深刻な事故が発生した例があります。
使われたのは、「XSS(クロスサイトスクリプティング)攻撃」。コーポレートサイトを訪問したユーザーのブラウザ上で悪意のあるスクリプトが実行され、その結果としてCookie情報が盗まれるなど、プライバシーの重大な侵害が引き起こされました。企業への信頼度の低下、顧客情報を利用した不正請求といった多岐にわたる被害につながりました。
「コーポレートサイトにはさほどリスクがないのでは」なんて、とんでもなかった……。こうしたリスクに備えて対策するには、まず何からやるべきミア?
コーポレートサイトのセキュリティ対策の始め方
Webタスクチームさん
セキュリティ対策を初めて実施する際は、まず現状の把握から始めることが重要です。現状を把握することで、次に取るべきアクションプランを立てやすくなります。そのため、まずは簡易的な脆弱性診断を行うことをおすすめします。
「まずは健康診断を受けて、要注意の項目がないか確認する」ようなものミア?
Webタスクチームさん
そんなところですね。現在は、脆弱性を自動で検出できるツールを用いた安価で手軽な診断サービスが多数提供されており、以前よりも脆弱性診断が身近なものになっています。コーポレートサイトは、ECサイトや業務アプリケーションと比べてセッション管理やユーザー権限の構造が簡素であるため、自動の診断ツールでも効果的な対策ができるんです。まず自社の現状を把握し、セキュリティ対策を行うことが重要です。
なんと!コーポレートサイトだからこそ対策しやすい面もあるのですね。まずは現状把握が重要ミア。今日はいろいろ教えてくれてありがとミア!
Webタスクチームさん
何から始めればよいかわからない場合や、脆弱性診断にとどまらず広範なセキュリティ支援が必要な場合は、専門家に相談することで、適切な対策を講じやすくなりますよ。ユービーセキュアでは多彩なセキュリティ診断サービスを行っていますので、お困りの際にはぜひ気軽に問い合わせてみてくださいね。
