Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

かつて、サイバー攻撃の目的は攻撃者の技術を誇示するような、あるいは単純な嫌がらせ目的で行われる、愉快犯的な攻撃が中心でした。サイバー攻撃を受けることでシステム復旧のための作業やコストが発生するものの、個人情報漏えいで顧客からの信頼性を落とすような事例はむしろ稀で、「運が悪かったね」という意見で終わることが多かったのです。

対して現代のサイバー攻撃はどうでしょう?連日報道されるニュースで、数十万~数百万件以上の個人情報が流出したなど、企業のブランドイメージや顧客からの信頼性を落としてしまうような事例ばかりです。

そして、年々サイバー攻撃の被害は見境なく、大企業だけでなく中小企業やベンチャー企業に至るまで被害に遭っています。

こうした中、企業には様々なセキュリティ対策が求められています。重要情報を狙ったサイバー攻撃の種類は多く、多角面から訪れる攻撃にたえられなければ、情報漏えい事件を起こしてしまうだけでなくそれに付随した様々な弊害が発生してしまいます。

今回はそんなサイバー攻撃への対策についてのお話ですが、中でも狙われやすいデータベースの脆弱性について解説します。

データベースに脆弱性があるとどうなる?

システム設計上の欠陥がそのままセキュリティ上の弱点となってしまったのが脆弱性です。データベースに脆弱性があるとどうなるのかは、多くの方が容易に想像がつくかと思います。

まず、重大な情報漏えい事件に繋がってしまう可能性が大幅に上がってしまいます。基本的にデータベースには、企業が保有する様々な情報が格納されています。その種類は攻撃者にとって価値のないものから、個人情報など不正利用されてしまうようなものまで多岐に渡ります。

データベースに脆弱性があり、万が一個人情報などの重要情報が漏えいすれば、企業へのダメージは計り知れません。顧客からの信頼性を落としたり、補償に数百万円とかけたり、事後対応にさらにコストがかかったりと、当然いいことは何一つとしてありません。

また、単純に重要情報を搾取されてしまうという被害の他にも、長期に渡って内部へ潜伏され、継続的に重要情報を盗聴される可能性もあります。

対象サーバが遠隔操作されてしまい、他社へのサイバー攻撃を実行する際に踏み台にされてしまうこともあるでしょう。

このように、データベースに一つでも脆弱性があるだけで、サイバー攻撃による様々な被害が想定できます。「うちは中小企業だから大丈夫」という理屈も既に通じません。前述したように、サイバー攻撃の標的は年々見境が無くなっているのです。

データベースの脆弱性を突くサイバー攻撃

データベースの脆弱性を突くサイバー攻撃にはどのようなものがあるのでしょうか?ここでは、代表的な3つの攻撃について解説します。

標的型攻撃

近年最もよく耳にするサイバー攻撃の一つが標的型攻撃です。標的型攻撃とは、従来型のように不特定多数のユーザーに電子メールでマルウェアを拡散するのではなく、組織内の特定の人間を標的として攻撃を実行します。

攻撃者は予め業界特有の商習慣などを学習し、時には標的となったユーザーの身辺調査も行ったうえで、業務メールなどに偽装した電子メールを送信します。

ユーザーが受信した電子メールは一見して標的型攻撃と気づくことは難しく、添付されたファイルも業務に関係するものだと錯覚します。

しかし実際は、悪質なプログラムが組み込まれたファイルであり、ユーザーをそれを開封することで実行され、対象端末がウイルスに感染してしまいます。

また、標的型攻撃は非常に巧妙であり、ウイルスに感染してからも気付かないというケースが少なくありません。そしてデータベースの脆弱性を突かれ、重要情報などが漏えいしてしまいます。

SQLインジェクション

企業システムの中で最も脆弱性が発生しやすい場所と言えば、Webサイト運営に関連するサーバやアプリケーションです。WebサーバやWebアプリケーションは改修されることも多く、それだけに多くのシステム設計上の欠陥が発生しやすくなります。

そして、Webサーバデータベースの中でも特に発生しやすい脆弱性がSQLインジェクションです。

SQLインジェクションとは、データーベースを操作するためのプログラミング言語であるSQLの脆弱性を利用し、Webサイト内の入力フォームに不正文字列を打ち込みます。これを実行することでデータベースを直接的に操作できてしまうというのです。

Webサイトを狙ったサイバー攻撃の中でもSQLインジェクションの発生件数は取り分け多く、特に警戒の必要なサイバー攻撃です。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、内部ネットワークへの侵入に必要となるIDやパスワードを、通信技術を使用せずに盗み出すというサイバー攻撃です。

具体的には何らかの方法で取得したIDをもとに管理者に連絡し、「パスワードを忘れてしまった、緊急で必要だから教えてほしい」というように人間の心理を突いて聞き出そうとします。

あるいは管理者がシステム操作している肩越しからIDやパスワードを盗み見たり、ごみ箱に捨てられた重要書類からIDやパスワードを突き止めようとします。つまり、ソーシャルエンジニアリングは内部不正によって行わることが多いサイバー攻撃です。

2014年には大手通信教育会社がソーシャルエンジニアリングによって、約4,000万人の個人情報が漏えいしています。

発生件数で言えば標的型攻撃やSQLインジェクションよりは少ないですが、1度の被害規模ば甚大なのはソーシャルエンジニアリングでしょう。

データベースを保護するためには

「脆弱性をカバーするために定期的なアップデートをする」という対策は大前提として、データベースを保護するためには他に何をすればいいのでしょうか?

内部、出口対策まで行う

データベースを保護する上で多くの企業が「入口対策」のみに目が行きがちです。確かに、そもそも攻撃者を侵入させない、攻撃を許さないという対策は重要です。

しかし、セキュリティに100%はない以上、万が一侵入や攻撃を許してしまった場合も想定してなければなりません。

そのためにも重要情報の外部持ち出しを許さない、内部対策や出口対策まで行うことが大切になります。

脆弱性をカバーする

脆弱性とはシステム設計上で生じた欠陥であり、そのままセキュリティホール(セキュリティ上の弱点)となってしまった部分を指します。そして、脆弱性はすべてのソフトウェアに存在します。

問題は、脆弱性の存在をサイバー攻撃者に気付かれ、さらにベンダからのセキュリティパッチ(修正プログラム)がまだ適用されていない場合です。

この場合、サイバー攻撃による情報漏えいなどを簡単に許してしまいます。従って脆弱性のカバーはサイバー攻撃対策において非常に重要です。

対策の基本としては、ベンダからのセキュリティアップデートに対し都度対応することです。また、企業においても脆弱性診断を定期的に行うことで、常に脆弱性の存在を把握し迅速に対応することができます。

出口対策まで考える

サイバー攻撃対策における出口対策とは、攻撃者の侵入を未然に防ぐための対策だけでなく、内部から情報を外部へ持ち出させないための対策となります。

出口対策を講じることで、万が一内部ネットワークへ侵入されたとしても、重要情報が外部に漏えいすることはないので実害は出ません。ただし、セキュリティに100%はない以上確実とは言えないので、出口対策だけでなく入口対策や内部対策までしっかりと講じる必要があります。

攻撃を検知する仕組みを取り入れる

具体的には、秘密裏に内部ネットワークへ侵入されてもそれを検知する仕組みが必要です。例え「サイバー攻撃は最終的に重要ファイルやシステムコードの改ざんに至る」という点に着目すると、改ざん検知システムの導入が有効的だと言えます。

改ざん検知システムは、企業システム全体のファイルやシステムコードを監視し、不正に変更された場合即座に管理者に通知します。さらに、通知後のアクションも自動で行われるようプログラムしておくことができるので、サイバー攻撃への対処を迅速化できるのです。

まとめ

企業がサイバー攻撃対策を講じるべきはデータベースだけではありません。しかし、データベースを確実に保護することで、多くのサイバー攻撃を防げることは事実です。そのためにはやはり、データベース保護への深い理解と、適切なセキュリティソリューションの導入が不可欠でしょう。

重大な情報漏えい事件を起こさないためにも、データベース保護について今一度再考していただければと思います。

改ざん検知まるわかりガイド