Webフォームの安全性を高めるために攻撃から守るWebセキュリティの基礎知識

セキュリティ
セキュリティ

Webサイトへのサイバー攻撃は巧妙化し続け、特にユーザーとの重要な接点となるWebフォームを悪用した攻撃が増加しています。

自社だけでなくユーザーへの被害もあるため、重大な信用問題へと発展するリスクをはらんでいます。したがってWebサイトへの攻撃から身を守ることは急務です。

この記事ではフォームへの攻撃手段からWebセキュリティの基礎知識まで、解説していきます。

高セキュリティなWebフォームならクライゼルのWebフォームをご利用ください。

Webサイト・Webフォームへの主な攻撃手段の一覧

WebサイトやWebフォームへの攻撃手段は年々増加し、巧妙に進化しています。

ここでは、特に攻撃される可能性が高い手段について、定義やリスクを解説します。

SQLインジェクション攻撃

SQLインジェクション攻撃とは、脆弱性のあるWebサイトに対して不正なSQL(データベースの定義や操作を行えるデータベース言語の一つ)を送信し、データベースを不正操作する攻撃です。

データベースに記録された個人情報の漏洩などに繋がります。

クロスサイトスクリプティング攻撃

クロスサイトスクリプティング攻撃とは、掲示板やブログ、アンケートサイトなどでユーザーに入力させるために使用されるWebアプリケーションの脆弱性を利用して攻撃することです。

具体的には攻撃者が入力フォームにスクリプト(実行内容)付きのリンクなどを貼って入力し、罠を仕掛けます。

訪問したユーザーが誤ってリンクをクリックすると、別のWebサイトに遷移して悪意を持ったスクリプトが実行されます。それにより、偽サイトに訪問してしまったユーザーがマルウェアの感染や情報漏洩などの被害に遭ってしまいます。

DoS/DDoS攻撃

標的となったサーバーに複数のコンピューターから大量の処理請求を送るDoS/DDoS攻撃。それによりサービスが異常に遅くなったり停止してしまったりし、企業活動に大きな影響が出ます。

DoSは単一のコンピューターから、DDoSは複数のコンピューターから行われます。

古くから存在するサイバー攻撃手段ですが、現在は無関係の個人のパソコンをウイルス感染させて、そのパソコンを経由して攻撃を仕掛ける手法が主流となっており、大元の攻撃者が特定しにくいことが特徴です。

OSコマンドインジェクション攻撃

OSコマンドインジェクション攻撃とは、WebサーバーのOSの脆弱性をついて不正なコマンドを実行させるものです。

Webサイトの入力フォームに不正な文字列を入力し、サーバー上でOSコマンドを実行させます。

すると、サイトで利用しているソフトウェアの種類やバージョン、各ソフトウェアの設定ファイルの内容などを表示させることやパスワードや個人情報などの機密情報を漏洩させることが可能になります。

最悪の場合、管理者権限の奪取やシステムやデータの破壊・改ざん、不正プログラムの埋め込み・実行などの危険性も想定する必要があります。

LDAPインジェクション攻撃

LDAPはLightweight Directory Access Protocolの頭文字をとったもので、主にユーザー情報を管理する通信プロトコルです。

LDAPインジェクションとはLDAPクエリで不正操作して文字列を挿入し、主にシステムを利用するユーザーの情報(ユーザー名やパスワード)を窃取する攻撃方法です。

権限がないアクセスを許可したり、LDAP内で情報が改変されたりするリスクがあります。

ブルートフォースアタック

ブルートフォースアタックは別名パスワード総当たり攻撃とも呼ばれる手法で、パスワードに使用できる文字の組み合わせを総当たりで解析していく攻撃手法です。単純な攻撃ではありますが、攻撃が成功したことでの被害は甚大。企業や個人の情報漏洩はもちろんのこと、アカウントのなりすましやサイトの乗っ取りの危険性があるほか、金銭に関わるシステムの場合は不正出金・送金など金銭的な被害も考えられます。

ディレクトリ・トラバーサル攻撃

Webサーバー上に存在しているものの、非公開にしているファイルにアクセスを試みるのがディレクトリ・トラバーサル攻撃です。

アクセス不可データの情報漏洩やアカウントのなりすましのほか、管理者アカウントの情報が盗まれた場合にはシステムが乗っ取られてしまう可能性があります。

ゼロデイ攻撃

ソフトウェアは脆弱性をついたサイバー攻撃に対して、セキュリティ強化で対抗していますが、そのセキュリティを更新するプログラムが提供される前に脆弱性をついて攻撃する手法がゼロデイ攻撃です。

問題が修正される前に攻撃されるためユーザー側での対策が困難で、深刻なダメージを受けてしまいます。不正アクセスやなりすましなど、他のサイバー攻撃と同様の損失が生じます。

ドライブバイダウンロード攻撃

ユーザーがWebサイトを訪問した際に自動的に不正プログラムをダウンロードするように仕組まれているのがドライブバイダウンロード攻撃です。

事前にWebサイトを改ざんし、自動ダウンロードが実行されるように不正プログラムを組みます。

自動でダウンロードされてしまうため防ぐことが難しく、端末内情報の窃取、漏洩の危険性が高まります。

横行している古典的なWebフォーム攻撃の手口と対策

Webサイトへの攻撃の中でも古典的かつ多くの被害が出ているのがWebフォームへの攻撃です。

具体的な攻撃手口と対策について見ていきましょう。

「お問い合わせありがとうございました」のメールと自動返信機能を悪用

お問い合わせフォームには、お問い合わせがきた際に自動で「お問い合わせありがとうございました」と自動で返信する機能が搭載されていますが、このシステムを悪用したのがWebフォーム攻撃です。

攻撃の手順としては以下のようになります。

  1. フォームのメールアドレス欄にスパムメールを送りたいアドレスを入力
  2. お問い合わせ内容のスペースに広告のリンクやフィッシングサイトを入力
  3. 送信
  4. 「お問い合わせありがとうございました」の自動返信メールが、1で入力したアドレスに送信される。

これをプログラムで何千、何万件と実行していきます。他人のサーバーから広告メールを大量に送信できるという流れです。フィッシングサイトのリンクが入力されている場合は、銀行口座やクレジットカード番号などを不正に取得させてしまう可能性もあります。

reCAPTCHAの設定を正しく行うだけで安心して活用できる

対策方法としては「reCAPTCHA(リキャプチャ)」を使うとよいでしょう。reCAPTCHAとは、人間とbotを区別するシステム。

最新バージョンの「reCAPTCHA v3」は機械学習によって怪しい挙動を検知し、データを送信させないようプログラムされており、チェックボックスへのチェックや文字列判読といったユーザーのアクションを必要としません。

設置は簡単なため、まだ未設置の場合は検討してみてください。

Webフォームを提供している「クライゼル」では、reCAPTCHA v3への対応など、スパム防止対策を万全に行なっています。

また、情報セキュリティガバナンス対策にも力を入れており、国際規格に準じた高セキュリティな運用を行っています。

Webマーケティングの運用基盤には、ぜひセキュアなクライゼルの活用をご検討ください。

特にWebフォームに関わるセキュリティリスク

先ほどはWebサイト・Webフォームの攻撃手段を紹介しましたが、Webフォームだけに絞ったセキュリティリスクについて紹介します。

以下で紹介するセキュリティリスクはWebフォームを設置している限り、常につきまとう問題です。

企業においてWebフォームを活用する意図は、ユーザーのデータ収集や、顧客・取引先へのフォローにあるでしょう。

データを活用するためにはセキュリティリスクをできるだけ減らすセキュア化も並行して行なうことが、企業としての信頼性につながります。

XSS(クロスサイトスクリプティング)

サイトやフォーム内に不正なスクリプトを含んだリンクを潜ませ、訪れたユーザーがクリックすることで悪意のあるサイトへ誘導して情報を窃取します。

CSRF(クロスサイトリクエストフォージェリ)

ユーザーとWebサーバー間のセッション管理の脆弱性をつき、他のサービスにログイン中のユーザーに悪意あるURLに飛ばし、なりすましなどの不正な操作をします。

SQLインジェクション

フォームに不正なSQLを入力・送信して、個人データの流出や改ざんをします。

クリックジャッキング

サイトやフォームに透明化したリンクやボタンを設置し、ユーザーの意図しないクリックでパソコンやアカウントの乗っ取りをします。

セキュリティに配慮したWebフォーム作成ツールの選ぶポイント

Webフォーム作成ツールにはさまざまな種類がありますが、セキュリティへの配慮の度合いもそれぞれです。

そこで、ツールを選ぶポイントについて紹介します。

サーバー監視体制の有無

サーバー監視体制の有無は必ずチェックしたいポイントです。監視システムがあれば、システム障害や不正アクセスにも即座に対応できます。

24時間365日の監視体制が整備されているツールを選ぶことをお勧めします。

データへのアクセス権限の管理・制限機能の有無

サーバーに保管されているデータの中には顧客から送信された情報が大量に格納されています。

情報の流出を防ぐためにフォームの管理者以外はデータにアクセスできないようにしたり、持ち出しができないようにしたりといった制限がかけられるかどうか確認するようにしましょう。

プライバシーマークなどセキュリティの規格認定の有無

プライバシーマークとは、個人情報の保護体制に対する第三者認証制度で、個人情報の適切な保護措置を講じる体制を整備した事業者に対して付与されるマークです。

自社のセキュリティ対策が万全でも、フォームを提供する運営会社から情報が漏れてしまうこともあるため、プライバシーマークをはじめとしたセキュリティの規格認定を受けている会社のツールから選ぶと安心です。

運用目的のWebフォームで情報収集はシステム連携・セキュア環境が大切

本記事ではWebフォームへの攻撃手法や攻撃の種類について詳しく解説してきました。

Webフォーム作成の本意は顧客データを収集し、運用するためです。

ユーザーが安心してフォームへ入力できるようにするためには、高セキュリティで作成されたWeb作成ツールを利用することが不可欠です。

クライゼルは国際規格であるISO27001とISO27017の認証を取得し、技術面と組織面で世界基準の情報セキュリティ管理を行なっており、サービスのセキュリティも国際規格に則っています。

スパム対策に有効なreCAPTCHA v3にも対応して防止策も万全に行なっている他、フォーム管理画面のSAML認証でSSO(シングルサインオン)にも対応しています。

運用で必要な分だけのユーザ・アカウントを追加費用なしで開設でき、アカウント毎の細かい権限設定も可能です。

企業の社会的責任を果たすために提唱されている情報セキュリティガバナンス対策にクライゼルの各種機能は有効です。

Webマーケティングの運用基盤に、ぜひセキュアなクライゼルをご活用ください。

フォーム作成数無制限!
国際規格に準ずる高セキュリティなWebフォームなら「クライゼル」

弊社の多彩な業務で使える高セキュリティなCRMプラットフォーム「クライゼル」のカタログは下記からダウンロードいただけます。機能・料金表の記載もありますので、ぜひご覧ください。
服部誠

トライコーン(株)取締役兼マーケティング統括。
Web広告、CRM、CDP、データ可視化などお客様のwebマーケティングの課題解決に長年従事。
Salesforce Marketing cloud メールスペシャリスト / アドミニストレータ / コンサルタントおよび、Salesforce アドミニストレータの各認定資格を保持。

服部誠をフォローする
トライコーンラボ
タイトルとURLをコピーしました