Webハッキング遮断

全てのハッキングはWeb攻撃から!

a house with a my web sign being attacked by cannons that are named XSS and SQL
Webを介した攻撃は、ハッキングの第一歩です。全ての攻撃がWebから始まります。Webサイトに対し脆弱性を
スキャンし、管理者権限を取得後、次なる攻撃のための準備をします。Web攻撃により得られた情報を元に2次攻撃へと
展開していくパターンが最も多く、それによるSEOとブランドイメージに悪影響を及ぼす恐れがあります。ECサイトの場合は
直接金銭的損害を及ぼし、長期的には会社の利益減少にもつながることも身近な例でよくみてきました。

01. SEO失敗

ハッカーは、最初の Web攻撃が成功すると、サーバ上にマルウェアを挿入していきます。Webサーバは一度マルウェアに
感染すると、完全にDDoS攻撃のためのゾンビ PCとして使われます。その上で、貴方のWebサイトの訪問者に対しても
マルウェアを挿入します。この時点でグーグルはマルウェアに感染した貴方のWebサイトを遮断し、貴方の検索ランキングも急落、結局SEO失敗につながる恐れがあります。

02. SQLインジェクションとクロスサイトスクリプティング(XSS)

SQLインジェクションと XSSは、最もよく知られていて一般的な攻撃です。SQLインジェクションは、データベースに対し
不正なSQLクエリ文の送り込み、機密情報を取得しますが、最近では、一回クリックさせて個人情報を取得するSQL
インジェクションツールも数多く存在します。そして、クロスサイトスクリプティング(XSS)は、クライアント側にて実行可能な
悪意あるスクリプトコードを挿入することで、数えきれないほど攻撃のパターンが存在し、最もよく知られているにも関わらず、完全な対策にまでは至っていません。

03. 脆弱性の下調べ

脆弱性スキャンは、自動化された攻撃ツールを用い、HTTP定義ではない不正なリクエスト(要求)およびレスポンス(応答)を返す(インバリッドHTTP)、RFC定義ではない不正なURIをリクエスト(要求)する(インバリッドURI)、Webサイトの
ディレクトリ構造を漏洩する(ディレクトリリスティング)、意図的にエラーメッセージを表示させる(エラーハンドリング)などを
行って、Webサイトに潜んでいる脆弱性を洗い出すといった、攻撃のための事前調査を行うことです。ハッカーは次なる
攻撃に繋ぐための情報収集として自動化ツールを採用し下調べを行っています。

04. 悪意あるコード挿入および実行

悪意あるコード挿入は、悪意あるスクリプトコードを挿入することによってユーザ情報を出力させる(クロスサイト
スクリプティング)、サーバ側にスクリプトを挿入し悪意あるコマンドを実行し情報を取得する(ステルスコマンディング)、不正な
アクセスにて悪意あるコードを送り付けるなどの試みです。この類の攻撃は、Webサイトの訪問者に対し、悪意あるコードを挿入し、それを踏み台とし様々な攻撃を仕掛けていくため、ゾンビPCになるか、あるいは個人情報漏洩にあうか等の
被害が想定されます。

05. サーバ運用妨害

サーバ運用妨害は、Webサーバの正常運用を阻害することであり、不正な実行コードにより内部のバッファを超えるようにする(バッファオーバープロ―)、リクエスト(要求)にて必要以上のメソッドおよびヘッダを送り付けるなどがあります。この類の
攻撃は高度な技術が要らないため、多くのハッカー入門者簡単に行っており、24時間365日Webサービスを維持する
必要のあるシステムの場合クリティカルな問題となります。