ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

MISSION 1-3 Webサービスからの個人情報の窃取

POINT1:狙いは個人情報やクレジットカード情報

自社のホームページで、アクセスした顧客の情報を取得するために、個人情報の登録を求める場合があります。

また、他社の提供するネットショッピングなどを利用する場合、クレジットカード情報を登録する場合があります。

そうしたWebサーバーに登録された個人情報が狙われているのです。

M1-3-1.png


POINT2:攻撃手口はソフトウェアの脆弱性(※1)を狙う

Webサービスに対する攻撃は次の3つです。

  • Webサービスでよく使われるソフトウェア(※2)の脆弱性を狙う
  • ブログや電子掲示板などインターネット上で使用されるソフトウェア(Webアプリケーション)の弱点を狙う
  • リモート管理用のサービスからの侵入を狙う

※1 セキュリティ上の欠陥(セキュリティホール)

※2 OpenSSL、Apache Struts、WordPressなど


<対策を急ぐべきだ!>

  • サービスを提供する場合

・WebサーバーのOSやソフトウェア、Webアプリケーションを最新の状態にする

・Webサイトに対する攻撃を検知・防御するセキュリティソフトの導入

・適切なログの取得と継続的な監視

  • サービスを利用する場合

・同じIDやパスワードを使い回ししない

・他社のホームページなどに安易に情報を登録しない

・利用をやめたWebサービスは退会する


MISSION 1-2 ランサムウェアを使った詐欺・恐喝

MiSSION 1-4 集中アクセスによるサービス停止

ガイドブックTOP

ページトップへ