はじめに

近年、ニュースなどで耳にする機会が増えてきたサイバー攻撃。
今回は、Webアプリケーション(企業様のHPなど)に対しての攻撃手法について解説していきます。
Webアプリケーションへの攻撃は様々な手法があり、全てご紹介すると、途方もない長さとなりますので代表的なものに絞って解説させて頂きます。
※各攻撃について、詳しく解説している過去ブログもあるので、攻撃別にリンクにて紹介します。

SQLインジェクション

「SQL」とは、データベースを操作するデータの操作や定義を行うための「データベース言語」のことです。
この「SQL」を攻撃対象のウェブサイトに「注入する(インジェクション)」ことをSQLインジェクションと呼びます。
例えば、セキュリティ対策が不十分なウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあり、攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を実行すると、そのSQL文の内容が実行されてしまいます。
その結果、本来は隠されているはずのデータ(個人情報等の非公開情報)が奪われてしまったり、データやウェブサイト自体が改ざんされてしまうといった被害が発生します。

OSコマンドインジェクション

SQLインジェクションはデータベースへの操作を改ざんしますが、OSコマンドインジェクションは、OSへの命令文を紛れ込ませて不正に操作する手法です。
外部プログラムを呼び出し可能な関数等を使用しているWebアプリケーションに注意が必要なものです。
管理者が意図しないOSコマンドが実施され、重要情報の漏えい、システムを停止させる、ファイルの改ざん、他のシステムへの攻撃の踏み台に利用されるといった被害が発生します。

ディレクトリトラバーサル

ウェブアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。
このファイル名指定の実装に問題がある場合、攻撃者によって非公開のサーバ内ファイルが閲覧されたり、設定ファイルやデータファイル、プログラムの改ざん、削除が行われてしまう可能性があります。

セッションハイジャック

ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッションID管理を行っているものがあります。
このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDが不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。
主な被害として、攻撃者が利用者本人に許可されている操作を不正に行うことにより、利用者のみが利用可能なサービスが悪用される、利用者のみ閲覧と編集ができるサーバ内ファイルの改ざん、削除などが行われることがあげられます。

クロスサイトスクリプティング(XSS)

ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト(実行するための翻訳が不要なプログラム)を埋め込まれてしまいます。
クロスサイトスクリプティングの重要な点は、この攻撃の影響がウェブサイト自体に対してでなく、そのウェブサイトのページを閲覧している利用者にまでおよぶ点です。
例をあげますと、本物サイト上に悪意ある罠ページが表示され、利用者に偽情報が流布されることよる混乱、フィッシング詐欺による重要情報の漏えいが発生するなどが考えられます。

過去ブログ:届出件数1位。「クロスサイトスクリプティング」とは？

クロスサイトリクエストフォージェリ(CSRF)

利用者からのリクエストについて、その利用者が意図したリクエストであるかどうかを識別する仕組みを持たないウェブサイトは、外部サイトを経由した悪意のあるリクエストを受け入れてしまう場合があります。
このようなウェブサイトにログインした利用者は、悪意のある人が用意した罠により、利用者が予期しない処理を実行させられてしまう可能性があります。
それにより、ログイン後の利用者のみが利用可能なサービスの悪用、情報の改ざん、新規登録、閲覧などの被害を受けてしまいます。

過去ブログ:現役セキュリティエンジニアが語る「クロスサイトリクエストフォージェリ（CSRF）」とは？

クリックジャッキング

提供している機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作するすることにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。
主な被害としては、利用者のみが利用可能なサービスの悪用、情報の改ざん、新規登録、閲覧などがあげられます。

バッファオーバーフロー

プログラムが入力されたデータを適切に扱わない場合、プログラムが確保したメモリの領域を超えて領域外のメモリを上書きされ、意図しないコードを実行してしまう可能性があります。
その影響として、プログラムの異常終了による意図しないサービス停止、重要情報の漏えいなどが発生する被害が出てしまいます。

おわりに

以上、簡単ではありますが、代表的なWebアプリケーションへの攻撃手法をご紹介しました。
勿論、ご紹介したもの以外にも様々な攻撃手法が存在し、また、新しい攻撃手法が開発されています。
サイバー攻撃は日々進化しており、Webアプリケーションへの攻撃も例外ではありません。
攻撃の進化に伴い、知識もアップデートしていかなければなりません。
最新のセキュリティ情報について、以下のようにまとめているサイトなどがありますので、日々、知識のアップデートをしていくことが重要です。

参考サイト：IPA 独立行政法人 情報処理推進機構：重要なセキュリティ情報一覧
https://www.ipa.go.jp/security/announce/alert.html