マルウェアとウイルスの違いをご存知でしょうか？ インターネットへの接続、利用はいまや社会インフラの一つといえるほどに普及しています。ビジネス用途でパソコンから接続したり、スマートフォンから情報を得るために接続したりと、そのための機器や形態も多様化しています。また、インターネットでは多くの便利なサービスが利用でき、SNSなどコミュニケーションツールとしての役割も大きいです。 しかしながら、インターネットが与えてくれるのは良いものばかりではありません。マルウェアやウイルスに感染して、個人情報が漏えいした、機密情報を盾に身代金を要求されたといった物騒なニュースを目にした方も多いでしょう。 今回は、インターネットにおけるサイバー犯罪に関連して耳にするマルウェアとウイルスについて違いやポイントを紹介します。

脆弱性にはさまざまな種類があります。また、脆弱性を悪用したサイバー攻撃の手口も巧妙化の一途をたどっています。ある脆弱性を悪用したサイバー攻撃への対策が整えばまた異なる脆弱性を悪用したサイバー攻撃が登場する、まさにイタチごっこともいえる状況です。それ故に多様な攻撃のアプローチを知ったうえでの脆弱性対策が求められます。この記事では最低限知っておきたい脆弱性の種類についてまとめます。 脆弱性を悪用したサイバー攻撃にはよく知られたものもあればあまり知られていないものもあります。セキュリティ対策は、脆弱性についての知見がないために無防備な状況であることが多いようです。有名な脆弱性を悪用したサイバー攻撃だけでなくあまり知られていないような脆弱性を悪用したサイバー攻撃についても知っておくことはセキュリティ対策を考える上で役に立ちます。そして、自分たちのWebサイトにどのような脆弱性があるのかも知っておき

WAFはWebアプリケーションの脆弱性を防ぐうえで有効な対策として注目されています。WAFは「ウェブアプリケーションファイアーウォール」の略称で、Webアプリケーションを守るセキュリティ対策ツールです。今回はWAFを導入する意味とメリット、デメリットについて解説させていただきます。 WAF とは？ Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。 SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW（ファイアウォール）やIPS/IDS（不正侵入防止システム/不正侵入検知システム）では守ることが出来ない攻撃を検知・遮断することができます。

サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。※本記事は2020年3月度 脆弱性情報のまとめとなります。

企業や政府系機関、個人への不正アクセスを含むサイバー攻撃に関する報道が絶えません。その中にゼロデイ攻撃という言葉を耳にしたことはないでしょうか。私たちが日々目にするこれらの報道の多くは、既によく知られた脆弱性を悪用したサイバー攻撃によるものです。ですが、中には未知の脅威を悪用したサイバー攻撃によるものもあり、そのようなサイバー攻撃は「ゼロデイ攻撃」と呼ばれます。今回はゼロデイ攻撃の概要について解説します。 「ゼロデイ」とは英語で「0日目」を表し、何かが起こったり発表される前の期間を指します。その期間に受けるサイバー攻撃で、一般的にOSやソフトウェア、情報システムの脆弱性を解消するための対処方法が確立される前に仕掛けられる攻撃をゼロデイ攻撃と呼びます。WindowsなどのOSや、オフィスソフトウェア、メールソフトウェアなどの汎用ソフトウェアは世界中に多くのユーザーが存在し、重要な情報のやり取

企業規模を問わず、企業が業務や宣伝を行うためにウェブサービスを利用することが多くなっています。個人事業者であっても気軽に簡易なECサイトを作って物品を販売できるようになっていて、オンライン上のサービスの種類、そして数は上昇する一方です。その分、ウェブサイトやアプリケーションへの攻撃が多くなっている可能性も伺えます。こうしたシステムでは、ユーザーの情報が管理されていたり、簡単に物品購入ができるため悪用するハッカーが狙いやすいからです。そのため、こうしたシステムの脆弱性を診断してセキュリティ対策を施すことは必須といえるでしょう。具体的にどんなポイントに注意したらいいかを知り、安全なサービス提供に役立てましょう。 脆弱性とは、システム上の欠陥のことを指します。システムを作る際に何らかのミスがあって、セキュリティが弱くなっている状態が見られることがあります。こうした部分を放置しておくと、悪意のある

企業経営を行う上で、Webサイトは自社のサービスを手軽に消費者へ周知することができるため、非常に便利です。しかし、Webサイト運営者のなかには、セキュリティ対策の重要性について認識が浅い人もいるのではないでしょうか。そこで、この記事ではWebサイトにおけるセキュリティ対策の重要性について紹介します。 Webサイトには個人情報や企業情報等、さまざまな情報が含まれています。これらの情報はサイバー攻撃者にとって格好のターゲットになります。彼らは手に入れたデータを別の犯罪に利用したり、販売して金銭を得ようとしています。Webサイトへのサイバー攻撃は不正アクセスを起点として始まることが多く、また「マルウェア感染」もサイバー攻撃の起点として多く利用されます。まずは、マルウェアと不正アクセスの特徴について理解しておきましょう。 マルウェアは「悪意を持ったソフトウェア」という意味で、感染した端末に特殊な操

インターネットは今や生活に欠かせないツールです。ネットショッピングにネットバンキング、SNSなど便利なサービスはいくつもありますが、こうしたサービスでは、利用しやすいようにIDとパスワードを入力してログインする仕組みになっています。便利なのに安全に使えるのがこうしたログイン方式のメリットです。ところが、悪意ある第三者が他人のログイン情報を不正に入手し、勝手にその人のアカウントにアクセスして、金銭や個人情報を盗み出すという犯罪があります。不正ログインは非常に身近な脅威ですので、ここでどんなパターンがあるかを理解するとともに、基本的な対策を知っておきましょう。 攻撃者の意図によって、不正ログインの被害の種類は以下の二つに分けられます。一つは、金銭やデータなどの窃取です。本人しか知り得ないIDとパスワードを使ってアカウントに不正にログインし、本人になりすまして金銭やデータを盗み出すという被害は枚

サイバーセキュリティとは、ネットワーク、デバイス、およびデータを不正アクセスまたは犯罪使用から保護する技術であり、情報の機密性、完全性、および可用性を確保する実践です。 2015年に施行された「サイバーセキュリティ基本法」では、 サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定しています。 この法律ではまず「漏洩」「消失」「毀損」を受けるリスクがあることを前提にそれに対する備えができているかどうかが問われます。 また、情報システムやネットワークそのものの安全性と信頼性を確保するための対策ができているかも問われます。 この二つを柱としてサイバーセキュリティという概念が成り立っています。 近年深刻な問題となっている情報の漏洩、改ざんなどの被害を回避するセキュリティ環境の

企業でwebサービスを利用することも多くなっていますが、セキュリティ技術者が不足する中、十分なセキュリティ対策が施せていないサービスもあります。wafはwebサービスにおけるセキュリティ対策に有効で、セキュリティ技術者が社内にいなくともサービスのセキュリティ対策を強化することが可能です。wafがセキュリティ対策にどのように役立つのか、wafの役割や利用シーンについて紹介します。 WAF とは？ Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW（ファイアウォール）やIPS/IDS（不正侵入防止システム/不正侵入検知システム）では守ることが出来ない攻撃を検知・遮断することができます。 wafはWeb Application Firewallを略したものでファイアウォールをWebア

DDoS攻撃などのサイバー攻撃は、システム管理者にとって対策が必須です。仮にデータ流出やシステム破損などを起こせば、企業の社会的信用は大きく失われるからです。たとえば、DDoS攻撃は手法として単純ながら、深刻な被害が出る可能性もあります。対策を立てるにあたって、攻撃者の手口を研究しておくことが必要です。この記事ではDDoS攻撃の種類を、事例をまじえながら解説していきます。 サイトやサーバーには処理可能なデータ容量が定められています。その脆弱性を利用し、過剰なデータを複数のパソコンからわざと送りつけて機能障害を起こす手法が「DDoS攻撃」です。DDoSとは「Distributed Denial of Service attack」の略で「分散型サービス拒否攻撃」を意味します。DDoS攻撃をまともに受けると、サイトにアクセスできなくなったりサーバーダウンが引き起こされたりします。さらに、セキュ

運営しているWebサイトやWebアプリケーションを第三者の攻撃から守るためにはセキュリティ対策が欠かせません。そこで大きな注目を集めているのがWAFです。とはいうものの、WAFとは一体どういうものか今ひとつよく分からないという人も多いのではないでしょうか。ここでは、WAFの概要と種類、IPS/IDSやFWとは何が違うのか、ということについて詳しく解説します。 WAFとはWebアプリケーションの脆弱性を悪用したサイバー攻撃からWebサイトを守ることに特化したセキュリティシステムです。Web Application Firewall が正式名称ですが、WAF（ワフ）と略されます。 WAFはWebサーバーの前段に設置します。通信に介在することにより通信の解析や検査を行い、不正なアクセスかどうかを判断します。判断の手法は様々ですが、その一つとしてシグネチャマッチ型があります。シグネチャとは不正な通

インターネットを使用して情報を管理する限り、セキュリティリスクがゼロになることはありません。不正アクセスを許して情報漏えいやWebサイト改ざんなどのトラブルを起こさず、リスクマネジメントを重要視し、重要情報を管理・保護することは社会的責務となっているのです。このコラムでは、Webセキュリティの重要性について紹介します。 企業の大小や個人に関わらず、インターネットを使わずにビジネスが成立しない時代です。そんな中、従業員が300名以下の中小企業はwebセキュリティに対するリスクマネジメントが十分に行われていないと言われています。従業員に対して、セキュリティ対策の必要性を教育する機会を設けられない、情報管理に強い管理者を配置できないなど、中小企業にとって負担が大きいと言える対策がおろそかになっているのです。webサイトの暗号化を行っていればセキュリティ対策は万全だなどと判断するのは大変危険ですし

SQLインジェクションをご存知でしょうか？SQLインジェクションは、Webサイトの運営者が留意し対策すべきサイバー攻撃のひとつです。ここではSQLインジェクションの概要とその対策について解説します。 多くのWebアプリケーションはデータベースと繋がっています。ユーザーが入力した情報を元に、WebアプリケーションはSQL文を構成してWebサーバーやデータベースにアクセスし、その結果をユーザー側に返します。 SQLとはデータベース言語のひとつで、それぞれstructured（組立）、query（命令文）、language（言語）を意味しており、データベースを管理するソフトウェアの操作・制御を行います。また、ISO（国際標準化機構）によって規格が標準化されている、汎用性の高いデータベース言語です。 SQLインジェクションは、Webアプリケーションの脆弱性を悪用したサイバー攻撃です。Webページの

Webサイトを運営している人々にとって脅威となるものにWeb改ざん（Webサイト改ざん）があります。 Web改ざんとは、Webサイトに管理者の意図しないコンテンツを置いたり、レイアウトを改ざんしてしまうことです。 中にはウイルスを仕込まれてしまう場合もあったりと、Webサイトを訪問する人々に危害を加える可能性があります。 今回はWeb改ざんとは何か？その対策方法はどうすれば良いかを解説します。 Web改ざんは、訪問者へのマルウェア感染、訪問者のクレジットカード情報などの窃取、攻撃者の主張を広めるなどを目的に行われます。 Webサイト改ざんの攻撃手法は、大きく4つのパターンに分類されます。 A　Webサイト管理用パソコンにマルウェアを感染させ乗っ取る B　Webサイトで使用しているサーバソフトウェアの脆弱性を突く C　Webサイトに配置され動作しているWebアプリケーションの脆弱性を悪用する

DoS攻撃とは、標的のWebサイトに対してツールを使って多くの回数攻撃し、標的Webサイトのサーバのリソース（CPU、メモリなど）を枯渇させることにより、Webサイトをダウンさせる攻撃です。DoS攻撃によって、Webサイトの閲覧が不可能になったり、サイトが遅延してスムーズな閲覧が不可能になるなどします。 DoS攻撃は１箇所から大量のトラフィックを発信するため、その発信元のIPアドレスを特定し通信を受け付けないように設定することで攻撃を防ぐことが可能です。 そのため、傾向としてDoS攻撃よりもさらに複雑なDDoS攻撃が主流となりつつあります。 DoS攻撃に取って代わり、猛威を奮っているのはDDoS(Distributed Denial of Service attack)攻撃です。 DDoS攻撃とは、ネットワーク上の関係のない複数のコンピュータに攻撃プログラムを仕込んでおき、プログラムを持つ

WAFがなぜWebアプリケーションのセキュリティ対策に必要なのか？理由を徹底解説 2021.07.20 WAF 近年「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」といったサイバー攻撃による情報漏えいの被害が急増しています。 ニュースでもたびたび報道されるようになり、こうした攻撃手法も世の中に広く知られるようになりました。サイバーセキュリティの最新情報に精通していないWebサイト制作の担当者でも、こうしたサイバー攻撃を認識するようになっています。もはやWebサイトのセキュリティ対策はすべての企業が積極的に取り組むべき課題なのです。 しかしながら、「ファイアウォールやIDS/IPSを導入していれば安全」とWebサイトのセキュリティ対策に誤解を持つ人が多くいることも事実です。このような誤解から、Webサイトに十分なセキュリティ対策が施されず、いつサイバー攻撃の被害にあって

パソコンに影響を与えるものに「アドウェア」というものがありました。 「アドウェア」と似た性質を持つマルウェアの仲間「スパイウェア」についてご紹介します。 スパイウェアとは、利用者が閲覧したブラウザのアクセス履歴・実行した操作の内容・メールアドレスなど、利用者のコンピュータに保存されている情報を外部に勝手に送信することを主な目的としたマルウェアのことをいいます。 アドウェアと共通する部分もあり、広告を表示するスパイウェアも存在します。 アドウェア・スパイウェアでそれぞれの性質を併せ持つものもありはっきりとした区別は難しいという点を理解しましょう。 また、スパイウェアは情報を勝手に外部に送信する他に、パソコンの設定を自由に書き換えて不要なファイルやブラウザの改ざんを行うこともあります。 「スパイウェア」という名の通りに、スパイのように知らぬ間に内部に侵入し外部へ情報を流したり、改ざんを行うので

Webサイトの脆弱性はシステムを開発・運営する上で、日常的且つ重要な問題です。 近年では、Webサイトに対するサイバー攻撃数が16.6億→45億※1と急増しており、個人情報漏洩、サービス停止、売上機会の損失、ブランドイメージの棄損など甚大な被害をもたらすことも増えてきています。 日々新たな脆弱性が発見される中で、開発・運用しているWebサイトの脆弱性をゼロにすることは、簡単なことではありません。そのため定期的なWeb脆弱性診断を行った上で、システムの改修やセキュリティ製品の導入など適切な対策を行うことが重要です。本稿では、脆弱性診断の解説と共に、弊社が行っている無料脆弱性診断のご案内をいたします。 ※１出典：NICTER観測レポート2016,2017 最初に脆弱性診断の必要性をする前に企業のWebセキュリティ対策の現状について触れておきます。 冒頭で記載した通り、サイバー攻撃や個人情報漏洩

Web改ざんはサイバー攻撃の１つで、Webサイトのコンテンツが配置されているサーバーに対して攻撃を仕掛けます。 Web改ざんを受けてしまうと手間暇かけて作り上げたコンテンツを悪用されたり、台無しにされてしまうこともあり、対策には力を入れたいところです。 今回は、Web改ざんの検知の仕組みとWeb改ざん検知サービスについて紹介します。 Web改ざんとはWebサイトのコンテンツが置かれているサーバーに不正な手段を用いることで侵入しWebサイトの改ざん行うことです。 サーバに侵入する方法も複数あり、ソフトウェアやWebアプリケーションの脆弱性を突いたものやアカウント情報の悪用による不正ログインがあります。 標的となるWebサイトに企業規模や業種は関係ありません。Webサイトを持つ企業であればいつ何時Web改ざんの標的になってもおかしくないと言えるでしょう。 Webサイトを持つのであれば、Web改