Episode10:あなたのWebサイトは大丈夫?

所長 見てくださいこれ!

なんだ朝から

僕のお気に入りの個人サイトのタイトルが『フェイク様カッコいい』になってますよ!

どれどれ
ああ、これはアイツの仕業だな
犯罪者ファイル#6:フェイク

脆弱性のある古いOSやソフトウェアを更新しないまま使用し続けているWebサーバを見つけ出し、その脆弱性を狙ってWebサイトを改ざんすることを得意とする。

サイバーゴーストの登場 早っ

でも あんまり害がなさそうですね

こいつは ネットサーフィンをしながらバージョンの古いOSやソフトウェアを使用しているWebサーバを見つけ出して手当たり次第に攻撃し サイト名を自分の名前に改ざんすることを生きがいにしているやつだ

へぇ~
でも どうやってサイトのOSやソフトウェアがわかるんですか?

その前に Webサイトを閲覧する流れを簡単に説明すると
【スマホ・PC等】
↓
【Webサーバにアクセス】
↓
【Webサイトの情報をもらう】
↓
【Webサイトをスマホ等に表示】
という感じなんだが この【Webサイトの情報もらう】ときにWebサーバのOS情報等が一緒にもらえるんだよ

レージィ(Episode7「公開された脆弱性情報の悪用」)の時もそうでしたけど、脆弱性っていうのは本当に怖いんですね

でも 弱点になるような情報を相手にあげちゃうっていうのも変な感じですね
どうにか 隠したりできないんですか?

Webサーバの動作環境にもよるが システム情報等の余計な情報をサイト閲覧者に渡さないということも可能だ
だが いくら情報を隠したところで それは脆弱性をなくしたとは言えず 攻撃の糸口をインターネット上にさらし続けていることに変わりはない

重要なのは 脆弱性をそのままにした状態でWebサーバを運用しないこと
そのためには Webサーバを動かすOSやソフトウェアのバージョンを把握し 新しバージョンが出たらアップデートしていくことが重要だといえる

ただし アップデートする際は これまでのWebサーバの動作に影響を与える場合もあることから その点には注意が必要だ

へぇ~ Webサイト1つ公開するにも大変なんですね~
まあ 僕的には そんなことより商品情報の更新の方が重要なんですけどね

小林君やお客さんにとってはそうかもしれないが
Webサイト運営者にとって 掲載情報の更新を定期的に行う以上に Webサーバのシステムの更新や見直しが重要なことなんだよ
Webサイト自体が公開できなければ元も子もないからな

それに Webサイトの改ざんというのは
Webサイトを閲覧する側の小林君にだって他人事ではない話だぞ

え どうしてですか?

Webサイトに載っているリンク先が変更されたら どのようなことが起きるか想像してみるといい

う~ん 想像できません

例えば小林君がフィットネス用品を買おうとクリックしたら 本物そっくりの偽物のページに飛ばされてしまう可能性があるということだよ
あとは 想像できるだろ?

・・・

じゃあ そこで僕が気づかないでフィットネス用品を買うために個人情報やクレジットカードの番号を入力しちゃったら・・・

・・・

フェイク 害 大有りだ!

実際 リンク先をフィッシングサイトに改ざんされ
気づかない利用者がカード情報を詐取されてしまった事例もあれば
Webサイトを見ただけでウイルスに感染するように改ざんされたケースもあるんだ

本物そっくりだったら 気づきませんし
そもそも Webサイトの見た目が何も変わっていなかったら疑いようがないですよね

そのとおり
Webサイトを改ざんされるというのは 思った以上に深刻な話なんだよ
運営者のみでなく それを閲覧する利用者にとってもね

特に企業サイトであれば 信用問題にも発展し その後の事業に影響がでる可能性だってある

今回の話で 小林君も少しはWebサーバのシステムの脆弱性を放置することの危険性について理解できたんじゃないかな?

脆弱性を放っておくと自分だけじゃなく 周りにも影響しちゃうんですね
でも 脆弱性 脆弱性って言われても 僕正直よくわからないんですよね

そうだな 「脆弱性の放置は危険」とはいっても 多くの人はピンとこないだろう
しかし だからと言って放置し続けて良いものでもない
少なくとも 自分や自社で管理しているWebサーバにサイバー攻撃の対象となる脆弱性があるかどうかは把握しておかなければならないんだよ

参考までに IPAとJPCERT/CCが共同で運用している脆弱性対策情報ポータルサイトのリンクを貼っておく
このサイトでは プログラム名から発表された脆弱性を検索することができるから小林君も一度試してみるといい
JVN(Japan Vulnerability Notes)

それにしても この事務所には所長がいて良かったです
わからなかったら所長に聞けば分かりますもんね

そうやって詳しい人に聞くのも一つの手だ
また 企業であればWebサーバの運営を専門業者に委託してしまうという手もあるな

じゃあこの冴羽探偵事務所のサイバーセキュリティは所長に委託します
しっかりお願いしますよ 所長

さっきも言った通り、サイバーセキュリティは他人事ではないんだぞ!
私の事務所に出入りする以上、しっかりサイバーセキュリティについて勉強するように!
-
Episode1
不正送金
-
Episode2
標的型攻撃
-
Episode3
ワンクリック詐欺
-
Episode4
集中アクセスによるサービス停止
-
Episode5
ランサムウェア
-
Episode6
コインマイナー
-
Episode7
公開された脆弱性情報の悪用
-
Episode8
IoT機器を踏み台にした攻撃
-
Episode9
街中のWi-Fiは危険なの?
-
Episode10
あなたのWebサイトは大丈夫?
-
Episode11
悪いUSB?
-
Episode12
攻撃は外部からだけとは限らない?
-
Episode13
そのアプリ、偽物かも?
-
Episode14
テレワークと情報セキュリティ対策
-
Episode15
ショルダーハッキングって何?
-
Episode16
「マルウェア」は忘れたころにやってくる?
-
Episode17
Webサービスからの個人情報の窃取
-
Episode18
パスワードの使いまわし
-
Episode19
パスワード付きZipファイルと「マルウェア」
-
Episode20
自分のアドレスからメールが届いても慌てないで
-
Episode21
偽装は続く~メールの送信元情報を安易に信じないで~
-
Episode22
不審なメールが届いた、Emotet?
-
Episode23
ショートカットファイルを悪用したEmotet等について
-
Episode24
Emocheckの使い方は?