サイバー攻撃の増加により、ウェブサイトの脆弱性診断の重要性が高まっています。デジサートでは「ウェブアプリケーション脆弱性診断」サービスをご提供しています。
脆弱性とは
ソフトウェアは人間が作るものなので、不具合を含むことは時に避けられません。その中で、情報セキュリティ上の欠陥を「脆弱性」と呼びます。ソフトウェアの機能を利用している分には不具合に気付きませんが、攻撃者の立場から見ると、攻撃の足掛かりにしてそのコンピュータを乗っ取ることができる場合があります。
Windowsなどの利用環境だけでなく、Webサーバやデータベースサーバなどのサーバソフト、ウェブアプリケーションにも脆弱性があるかもしれません。Windowsであれば、Windows Updateを適用すればよいですが、サーバで使われているソフトウェアの場合には停止が許されない場合もあり、脆弱性を簡単に修正できるとは限りません。
また、開発元から修正プログラムが提供されない場合や、脆弱性の存在に気付かない可能性も考えられます。気付いたとしても、修正プログラムの作成が攻撃に間に合わないこともあります。
セキュリティ・脆弱性診断の必要性
脆弱性が存在する状態でサーバを運用していて攻撃を受けた場合、サーバの乗っ取りや個人情報の漏えいといった被害を受けるだけでなく、場合によっては踏み台として他のサーバを攻撃する「加害者」になってしまう可能性があります。
このような被害を防ぐために、定期的に「脆弱性診断」を受けることが有効です。一般に使われているソフトウェアであれば、開発元から修正プログラムが提供されるケースもありますが、自社開発したウェブアプリケーションに脆弱性が存在するかどうか確かめるには、脆弱性診断を受けることが必要です。
よくある攻撃事例
A社では、自社のウェブサイトに問い合わせフォームを設置していました。問い合わせを受けるだけの簡単なフォームのため、書籍に書かれているサンプルをコピーして作成したものでした。ある日、顧客から問い合わせ内容が公開されていると連絡がありました。調べてみると、問い合わせフォームに「SQLインジェクション」の脆弱性があり、これまでに送信された内容がすべて攻撃者によって取得されていました。