Webサイトの安全確認を3ステップで

はじめに

企業や団体などの組織が持つデータベースにはさまざまな機密データが格納されています。これら「財務情報」「設計情報」「製品情報」といったものは、外部に流出すると非常に価値があり、高値で取引されるものも少なくありません。
したがって、悪意を持った攻撃者にとって、これらデータベースは宝の山と言えます。

当然、狙われることとなるデータベース。しかし、実際にデータベースはどのような攻撃によって狙われるのでしょうか。また、攻撃からデータベースを守るためにはどのようにすれば良いのでしょうか。

データベースに脆弱性があるとどうなる？

企業などの組織のデータベースには多くの情報が格納されているといったことは、皆さんも良くご存知だと思います。しかし、その中のどういった情報が悪意を持つ攻撃者にターゲットにされるのでしょうか。

企業内のデータベースといえば、業種にもよりますが一般的に以下の情報が格納されています。

• 社員の個人情報（マイナンバーも含む）
• 顧客の情報
• 財務情報
• 技術情報
• 製品情報
• 設計情報　など

これらを見ていくと、社員の個人情報をはじめ明らかに社外に出てはいけない機密情報ばかりであることがよくお分りいただけると思います。それは裏を返せば社外に出ると高額で取引される可能性のある情報があるということを意味し、それがために悪意を持った攻撃者のターゲットになるのです。

JPCERT/CCのようなセキュリティ機関や、大手セキュリティベンダーなどの情報を見ると、よく「データベースの脆弱性」についての情報が掲載されています。ソフトウェアの不具合やバグなどにより、データベースが脆弱性を持ちセキュリティ的に安全でない状態になることがあります。しかし、「データベースが安全でない状態になる」ということはどういった状態になるのでしょうか。先ほどのデータベースに格納された情報の一覧を踏まえて、「データベースが安全でない状態」になるとどういったことになるのか考えてみましょう。

データベースが脆弱性を悪用したサイバー攻撃を受けた際のリスクは以下のようなものがあります。

• 情報が不正に取得され、外部漏えいにつながる
• 情報が不正に改ざん、破壊される
• データベース自体が破壊される

このように、データベースがサイバー攻撃を受けると、外部への情報漏えいや改ざんだけでなく、データベース自体の破壊などの被害につながる可能性もあります。具体的に今年2017年に発生したデータベースに対する攻撃事例としては以下のようなものがあります。

＜ケース1:マルウェアによるデータベース消去＞

2月に数百のMySQLデータベースが、ランサムウェア「MongoDB」に感染させられ、データを消去の上で、回復させるためにお金を要求されるという事例が発生しました。

＜ケース2:サイバー攻撃による医療データベースの停止＞

英国で5月にロンドンやブラックバーンなどの地域で医療用データベースに対してサーバー攻撃が行われた結果、データベースがロックし、利用できないという事例が発生しました。

このように今年に入ってからもデータベースへのサイバー攻撃はたびたび発生しています。データベース上のデータの消去やデータベース自体の停止は、業務サービスの停止を招くなど大きな損失につながります。

どういった攻撃があるのか？

先にも説明しましたが、データベースの脆弱性を悪用した攻撃は、「顧客情報」や「企業の内部情報」の漏えいにつながる恐れが高い、非常に問題のあるものです。仮に漏えいが発生した場合は、顧客からの信頼の失墜にとどまらず訴訟などに発展する可能性もあります。

こういったデータベースに対するサイバー攻撃を防ぐためには、まずどういった種類の攻撃があるのかということをしっかりと理解する必要があります。攻撃の内容を知ることによって、適切かつ効果的な防御が出来るようになるからです。

では、データベースに対する攻撃を種類ごとに分けて見ていきましょう。

・標準型攻撃

これはデータベースに限らず現在のサイバー攻撃の主流とも言えるもので、特定の組織や個人をターゲットとして行われるものです。これはメールなどでマルウェアが送られてきて感染するといったケースが多いのですが、データベースに対して攻撃を行うマルウェアが仕掛けられることで、データベースに対する改ざんなどの攻撃が仕掛けられるケースがあります。

・SQLインジェクション

これはデータベースに限らず現在のサイバー攻撃の主流とも言えるもので、特定の組織や個人をターゲットとして行われるものです。これはメールなどでマルウェアが送られてきて感染するといったケースが多いのですが、データベースに対して攻撃を行うマルウェアが仕掛けられることで、データベースに対する改ざんなどの攻撃が仕掛けられるケースがあります。

最近では、さらに進化した攻撃方法も出てきています。それが以下に説明する手法です。

・ソーシャルエンジニアリング

これは、従来のマルウェアや不正アクセスとは異なり、人間の心理を悪用した攻撃です。例えば、上司になりすまし「問題が起こったから、IDとパスワードを教えろ」とか、不正送金詐欺であるような「海外の子会社で支払いが必要だから、〇〇ドルをすぐに送金しろ」などと部下に命令するようなケースです。

また、ロックされていないパソコンの画面からデータを覗き見たり、机の上の書類を盗み見たりするのもソーシャルエンジニアリングです。

このようにデータベースの脆弱性を悪用した攻撃には、さまざまな種類があります。悪意を持ったこれらの攻撃からデータベースとそこに格納された情報を守るためには、適切な防御が必須の対策となります。

どうやって保護するのか？

データベースに対するサイバー攻撃の手法は、先ほども説明したように日々進化し悪質化・巧妙化をしています。

現在、不正アクセスの主な侵入口である「Webサイト」「インターネット」「イントラネット」などからの攻撃を防ぐ方法はいわゆる「入口対策」としてのWAF, IPS/IDSです。これは、それぞれ以下のような役割を持っています。

• WAF
  Webサイトの脆弱性を悪用した攻撃からWebサイトの改ざんなどの攻撃を防ぐ仕組み
• IDS/IPS
  ネットワーク上に設置され、不審な通信パケットなどがあれば検知する仕組みです。さらにIPSでは不審な通信を遮断することが出来るようになっています。
• データベース自体が破壊される

こういった現状での対策で、サイバー攻撃のかなりの部分は防ぐことが出来るのですが、どうしてもこれらの対策では防ぎきれない場合があります。それは以下のような理由からです。

• WAF, IDS/IPSは、万が一突破され内部に入られると対処できない
• 未知の脅威に対しては十分な対処が出来ない
• チューニングやメンテナンスなど運用に専門的な技術が必要

このように、運用に対しては高度な技術が必要ということもありますが、大きな問題は「これらの方法は入口の対策となるため、内部に入られると手の打ちようがない」というものです。加えて、「攻撃が未知の脅威によるものであれば十分対応できない」という弱点もあります。

では、どのようにしてこういった弱点を克服して、データベースを守っていけば良いのでしょうか。まず、重要なことは「入口だけでなく、内部や出口についても対策を行う」ことです。それには以下のような対策が有効です。

＜データベースサーバ＞

• ①OSは適切にセキュリティアップデートを適用する
• ②データベースのアップデートプログラムは適切に適用する
• ③OS, データベースのパスワードは適切に変更する
• ④改ざん検知サービスを取り入れる

＜出口対策＞

• ①ファイヤーウォールで不審な通信がブロックされるようにする

＜未知の脅威に対する対策＞

• ①未知の脅威を検出できるセキュリティ対策ソフトウェアを使用する

このように、既知の脅威だけであれば、ある程度従来からのWAFやIDS/IPSでも対応し防御することが出来ますが、未知の脅威に対してはここで掲げたようなさまざまな対策を組み合わせて総合的な防御力を高める必要があります。

サイバー攻撃に強いデータベースとは〜まとめ

最後にこれまで説明してきた内容を踏まえて、もっとも重要な点である「サイバー攻撃に強いデータベースとはどういったものか」という点について考えてみましょう。データベースには、上でも紹介したように「個人情報」「顧客情報」「財務情報」「技術情報」など、外部に流出してはいけないさまざまな情報が格納されています。これらは、ひとたび外部に流出してしまうと、組織の信頼の失墜のみならず最悪の場合は訴訟に発展し多額の賠償金を支払うことになるなど大きな問題となります。

では、そうならないために行うべきデータベースの強化対策とは。それは以下のようなものです。

＜既知の脅威への対策＞

• WAFやIDS/IPSといった不正侵入の検知システムを設置

＜未知の脅威への対策＞

• OS,データベースのセキュリティパッチ適用
• OS,データベースのパスワード管理
• ファイヤーウォールの設置
• 未知の脅威に対抗できる振る舞い検知可能なソフトウェア等の導入

このように、データベースに対して行うべき対策は既知の脅威と未知の脅威の両方に対応している必要があります。言い換えれば、これらをカバーしているデータベースはサイバー攻撃に強いと言えます。そういう意味では、サイバー攻撃に強いデータベースは簡単に言うと以下のようなデータベースです。

• ①既知の脅威に対抗すべくWAFやIDS/IPSといった不正侵入の検知システムを設置
• ②セキュリティパッチの適用・データベースのパスワード管理などが適切
• ③ファイヤーウォールが適切に運用

加えて、可能であれば

• ④未知の脅威に対抗する機能を備えたセキュリティ対策製品を導入

こういったものは非常に強固なデータベースであり、情報資産を外部流出などのリスクから守ることが出来る安全なものと言えます。そういう意味では、データベースを構築・運用する際には、ここで紹介したような視点に立って行うべきではないでしょうか。

---