いいえ。ECサイトではなくても、例えば、企業であれば顧客情報、学校であれば学生情報など、大事な情報を抜き取られ、闇市場で売買されるケースはあります。ほかにもログインIDとパスワードなどを窃取され売買されたり、不正に利用される可能性もあります。
いいえ。ECサイトではなくても、例えば、企業であれば顧客情報、学校であれば学生情報など、大事な情報を抜き取られ、闇市場で売買されるケースはあります。ほかにもログインIDとパスワードなどを窃取され売買されたり、不正に利用される可能性もあります。
システムを利用して攻撃対象となるWebサイトを自動探索された場合など、企業の規模に関係なくターゲットになる可能性があります。また、大企業に対するサイバー攻撃の踏み台として、子会社や取引先などの関連企業が狙われる場合もあります。
SSLはWebサイトとパソコンなどとの間の通信を守っているので、Webサイト自体の防御にはなりません。
Webサイト改ざんは、スクリプトを埋め込むなど見た目に影響が出ない手口を用いた場合、人の目では簡単に発見することができません。
改ざんされたWebサイトを放置して、顧客にマルウェア感染などの被害を与えてしまった場合、損害賠償などビジネスへの大きな影響が想定されます。
システムによる定期的なチェックを行うなど、Webサイトが改ざんされてしまっても早期発見できるようにしておくことが重要です。
Webサイトを攻撃することにより窃取した個人情報やクレジットカード情報などを販売して金銭に変えたり、自らが不正利用したりします。これらの重要な情報は国内のみならず世界の闇市場で高値取引されるため、金銭目的の攻撃はあとを絶ちません。
企業の公式ホームページなど、世間から信頼されているWebサイトを改ざんすることで自身の腕試しをしたり、自己顕示欲を満たしたりするタイプです。また、別のターゲットを攻撃する前の練習台として狙われることもあります。
【攻撃の手口】
データベースと連携しているWebサイトで、データベースの脆弱性をついて、データを不正に操作・取得する手口です。
【被害例】
攻撃者にデータ等を不正に取得され、顧客情報などが漏えいしてしまう。
【攻撃の手口】
脆弱性のあるWebサイトの入力フォームなどに悪意のあるスクリプト(命令)を埋め込み、閲覧者のブラウザ上で実行させる手口です。
【被害例】
悪意のあるスクリプトにより表示された偽の入力フォームに気づかず、個人情報などを入力し、攻撃者へ送信してしまう。
【攻撃の手口】
「index.html」や「index.php」など、ディレクトリインデックスで指定されたデフォルトファイルが存在しないWebサイトのディレクトリへアクセスすることで、同じディレクトリに格納されているファイルを不正に閲覧・取得する手口です。
【被害例】
不正に取得されたファイルに含まれる個人情報などを売買されてしまう。
【攻撃の手口】
不正に取得したWebサイト管理者情報を利用するなどし、Webサイトに不正なリンクを埋め込むなどの改ざんを加えることで、閲覧者を不正に誘導したり、閲覧者の端末を攻撃する手口です。
【被害例】
閲覧者がクリックするボタンのリンク先を書き換えられ、閲覧者が本来表示されるはずのWebページではなく、不正なWebページに誘導されてしまう。
NTT東日本の「Webセキュリティ診断」は、脆弱性や改ざんの有無をシステムから定期的に診断します。
脆弱性診断
Webサイトに攻撃可能な脆弱性(弱点)がないか診断します。
1.SQLインジェクション
データベースと連携しているWebサイトで、データの不正な操作・取得につながる可能性がある脆弱性がないか診断
2.クロスサイトスクリプティング
悪意のあるスクリプトの埋め込みにつながる可能性がある脆弱性がないか診断
3.ディレクトリインデックス
ディレクトリに格納されているファイルの不正な閲覧・取得につながる脆弱性がないか診断
4.OSコマンドインジェクション
攻撃者から悪意のあるリクエスト(OSへの命令)の要求を受け、不正に操作されてしまう脆弱性がないか診断
5.ディレクトリトラバーサル
公開されているトップディレクトリを遡り、非公開のファイルやフォルダに不正な操作が実行されてしまう脆弱性がないか診断
6.クロスサイトリクエストフォージェリ
リクエストを十分に検証せず受け取り、正規のリクエストとして扱い不正に実行されてしまう脆弱性がないか診断
診断項目1および2
100パラメーター
(概ね1入力項目=1パラメーター)
診断項目3
1URL
(上限100ページ)
※お申し込み日から4営業日を空けて診断日をご指定ください。
※お申し込み日から4営業日を空けて診断日をご指定ください。