catch-img

Webフォームの脆弱性。多発するサイバー攻撃を回避する方法

Webサイトからのお問い合わせや資料請求、アンケートやキャンペーン応募などにWebフォームを活用されている企業は多いことでしょう。

企業やユーザーにとって非常に便利なツールである一方、Webフォームの脆弱性はサイバー攻撃の標的にもなりかねません。

この記事では、Webフォームの脆弱性がもたらすリスクとその対策について詳しく解説します。


Webフォームの脆弱性・セキュリティリスクは経営リスク

はじめに、Webフォームの脆弱性がもたらすセキュリティリスクについて見ていきましょう。

個人情報の漏洩による企業の信頼の失墜

1つは、個人情報の漏洩による企業の信頼喪失です。

Webフォームでは名前や住所、メールアドレス、クレジットカード情報などの個人情報を扱うことも多いものです。

Webフォームの脆弱性をつかれてデータベースに不正にアクセスされれば、個人情報が盗まれ悪用される事態にもなりかねません。

Webサイトの不具合による対応コストの発生

もう1つは、Webサイトの不具合による対応コストがかかるケースです。

サイバー攻撃によってWebサイトが改ざんされ、フォームを訪れたユーザーがマルウェアに感染するなどの被害をもたらす恐れがあります。

そうなった場合は、一時閉鎖してすぐに改修するほかなく、閉鎖期間中の機会損失に加え、改修コストもかかってしまいます。

こうした事態に陥らないよう、Webフォーム設置時からセキュリティに配慮しておくことが重要です。


Webの脆弱性に関する代表的事例

では、具体的にWebフォーム・Webサイトの脆弱性を悪用した攻撃にはどのようなものがあるのか、その代表例を紹介します。

SQLインジェクション

SQLとはデータベースに使われるプログラム言語のことで、不正なSQL文によってデータベースを直接操作されてしまう攻撃をSQLインジェクションといいます。

個人情報が窃取されたり、改ざんされたりする恐れがあるため、特に注意が必要です。

クロスサイト・スクリプティング

クロスサイト・スクリプティング近年多くの被害が報告されているサイバー攻撃です。

Webサイトの脆弱性を悪用して、悪質なサイトへ誘導するプログラムを実行し、サイトに訪れたユーザーの個人情報を盗み、マルウェアに感染させるものをいいます。

CSRF(クロスサイト・リクエストフォージェリ)

掲示板やSNSに勝手に書き込みがされたり、意図しない商品購入をされたりするCSRF。

SNSやネットバンキングなどにログイン状態のまま、攻撃者が作成した攻撃用Webページにアクセスしてしまうと、本人の意図しない情報やリクエストを勝手に送信されてしまうというものです。

OSコマンド・インジェクション

OSコマンド・インジェクションは、Webフォームのようにユーザーからの入力を受け付けるWebページが主な攻撃対象となります。

入力したデータの中にOSへのコマンドを紛れ込ませ、それが実行されることでWebサーバ上のデータベースを自由に操られてしまいます。

ディレクトリ・トラバーサル

ディレクトリ・トラバーサルは、公開されているWebページからWebサーバ上の非公開ファイルのディレクトリ階層に横断(トラバーサル)して不正にアクセスされるサイバー攻撃です。

個人情報のデータベースからデータを摂取され、管理者情報が盗まれてシステム自体を乗っ取られる危険性もあります。


Webの代表的サービス・プロダクトのセキュリティ

ここで、企業でも使われることの多い代表的なWebサービスのセキュリティについて見てみましょう。

Googleの場合

企業活動にも多く活用されているGoogleのアプリケーション。コラボレーション機能などにも優れていますが、世界最高水準と言われる強力なセキュリティ基盤は企業に選ばれる理由の一つになっています。

徹底したデータの暗号化や、セキュリティ専門チームによる監視を行うほか、自社でインフラ構築をしているため脆弱性のリスクにも迅速に対応しています。

WordPressの場合

Webサイトの構築基盤として多くの企業が導入しているWordPress。CMSを利用している企業の約7割がWordPressを使っているとも言われています。

無料で導入できるなど手軽さが魅力ですが、その一方で圧倒的なシェアの高さからサイバー攻撃の標的にもなりやすくなっています

また、WordPressの代表的なメールフォームのプラグインはSSLに対応していません。

こうしたセキュリティのリスクを踏まえた上で、対策を講じる必要があるでしょう。


Webフォームのセキュリティ対策例

それでは、Webフォームの脆弱性のリスクに対して、どのような対策を講じれば良いのでしょうか。

ここでは一例として代表的な方法を5つご紹介します。

SSL/TSLによる通信データの暗号化

1つ目は、SSL/TSLによる通信データの暗号化です。

暗号化は、送信された入力データがサーバに保存されるまでの通信経路上で窃取・改ざんされるのを防ぎます。

フォームをWebサイトに埋め込んで運用する場合には、フォームの暗号化だけでなくサイト全体をSSL化する「常時SSL化」にしておくと安心です。

WAF・IDS/IPSの設置

2つ目は、WAFやIDS/IPSによって悪意を持った攻撃者をブロックする方法です。

WAFはアクセスのパターンから攻撃の検知を行い、通信の可否を判断するもの。

IDS(不正侵入検知システム)は異常な通信を検知し管理者に通知を行うもので、IPS(不正侵入防止システム)はIDSで検知した際に通信のブロックを行うものです。

SSO(シングルサインオン)の導入

SSO(シングルサインオン)とは1つのID・パスワードで複数のWebサービスやアプリケーションにログインできるようにする仕組みを指します。

利便性が向上するだけでなく、パスワードのメモ書きや使い回しなどのセキュリティリスクを低減することができます。

CAPTCHA認証の導入

CAPTCHA認証は、画像認証と呼ばれる認証技術の1つ。

表示された文字列を入力させるなどすることで、ロボットではなく人間が操作していることを確認する方法です。これによって大半の迷惑メール(スパムメール)を防ぐことができます。

定期的な脆弱性診断の実施

最後は、定期的に脆弱性診断を行うことです。

脆弱性は運用中も常につきまとう問題です。

脆弱性診断では検出された脆弱性の種類と危険度を評価してくれるため、取るべき対策が明確になり、セキュリティ対策のコスト削減にもつながります。

Webフォームセキュリティ対策まとめ

ここでご紹介したのはあくまで対策の一例です。

しかし、ここに挙げた対策だけでも自社で行うのは非常に難しいものです。

最も効率的かつ効果的なのは、上述のようなセキュリティ対策を万全に講じているベンダーのサービスを利用する方法だといえます。

安心して運用できる基盤があれば、自社はWebフォームの活用やEFOに注力することができるのです。


運用目的のWebフォームで情報収集はシステム連携・セキュア環境が大切

この記事では、Webフォームの脆弱性の種類や対策について詳しく解説してきました。

Webフォームを作成する上で忘れてはならないのが、Webフォームは顧客データを収集し運用するための手段だという点です。

そのため、ファイル作成ツールには、フォーム作成上の機能はもちろんのこと、顧客アクションを促すUXデザインやEFOのための運用改善機能も求められます。


そして最も重要なは、データの運用を前提としてシステムが構築され、セキュリティが担保されているという点です。

データを受信するだけではなく、格納・活用まで見据えてデータ運用の土台を築くことが肝要です。

また、その土台の根幹となるのがセキュリティ面。

外部からの情報の入り口となるWebフォームはサイバーセキュリティリスクや情報漏洩リスクと常に隣り合わせです。

信頼性が高い、高セキュリティなWebフォーム作成ツールで、セキュアにデータを運用しましょう。


高セキュリティなWebフォーム作成ツールとして定評のあるクライゼルは、国際規格であるISO27001とISO27017の認証を取得。

技術面と組織面で世界水準の情報セキュリティ管理を行っており、サービスのセキュリティも国際規格に則っています。

さらに、 reCAPTCHA v3に対応しスパム防止対策も万全に行っている他、管理画面のSAML認証でSSO(シングルサインオン)にも対応。

追加費用なしに運用で必要な分だけユーザ・アカウントを開設することができ、ユーザ・アカウント毎に細かい権限設定が可能です。これら機能で情報セキュリティガバナンス対策にも力を発揮します。Webマーケティングの運用基盤に、ぜひセキュアなクライゼルをご活用ください。


フォーム作成数無制限

国際規格に準ずる高セキュリティなWebフォームなら「クライゼル」


お問い合わせ



M.Hattori

M.Hattori

トライコーン(株)取締役兼マーケティング統括。web広告、CRM、CDP、データ可視化などお客様のwebマーケティングの課題解決に長年従事。 Salesforce Marketing cloud メールスペシャリスト / アドミニストレータ / コンサルタントおよび、Salesforce アドミニストレータの各認定資格を保持。

関連記事

よく読まれる記事

ホワイトペーパーDL

ステップメール完全ガイド

タグ一覧