体験で知るサイバーセキュリティー

恐怖!掲示板へのアクセスでパソコン乗っ取り(後編) クロスサイトスクリプティングなどを組み合わせた巧妙な手口を体験

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

対策は総合的に実施する

 対策は一つで済むわけではなく、複数を組み合わせるべきであるという。ここまで読まれた方であれば、既にいくつかの対策が想像できるだろう。

 「まず、当然ながらXSSの脆弱性はそもそもあってはならないものです」(北原氏)

 自社構築のウエブサイトについては必ずXSSの脆弱性への対策を行うべきである。ITシステムは正式稼働前に、XSSの脆弱性を含めたセキュリティーに関する総合的な検査を行って、脆弱性が見つかった場合は修正するのが基本である。システムを改修したときに新たな脆弱性が生まれることもある。新規構築のときと同様にセキュリティーに関する総合的な検査と対策を行ってほしい。

 本稿にあるように、他社のサイトにあるXSSの脆弱性がきっかけになって社内のパソコンへ侵入される場合もある。その場合に備えるには、社内パソコンのアクセス先を制限する専用ソフトを活用して、業務に関係ないサイトへアクセスできないようにするといった対策を行うとよいだろう。

 より厳格なアクセス制限を行いたいパソコンについては、他のパソコンから完全に分離されたネットワークに設置することも検討するとよい。

 アクセス先を制限する方法には、アクセスを禁止するサイトを設定する「ブラックリスト方式」と、アクセスを許可するサイトを設定する「ホワイトリスト方式」がある。ホワイトリスト方式のほうが安全性は高まるが、制限も大きい。一方、ブラックリスト方式はブラックリストを常に更新することが欠かせない。業務に適したほうを選択することになる。

 次に重要なのは、「攻撃用のソフトウエアを誤ってダウンロードしたとき、侵入されないようにパソコンの脆弱性を徹底して排除することです」と北原氏は話す。

 よく言われることだが、最新のセキュリティー更新プログラムの適用を徹底しよう。今回の実験に使った脆弱性は、フラッシュプレイヤーを最新版に更新することで取り除ける。セキュリティー更新プログラムが用意される前に攻撃が行われた(「ゼロデイ攻撃」と呼ばれる)場合は、攻撃を防ぐことはできないが、既知の問題への対処は基本中の基本だ。

 これらに加えて、パソコンのセキュリティーを高める機能やプログラムをできるだけ使うようにしたい。

 「たとえば、ウインドウズ10エンタープライズ(Windows 10 Enterprise)という企業向けのバージョンでは、ウインドウズ・デフェンダー・クレデンシャル・ガード(Windows Defender Credential Guard)」という機能を導入することによって、メモリー上にあるパスワードを攻撃ツールを使っても取得できないようにすることができます」(北原氏)

 北原氏は最後にこう語った。「攻撃者の手口は次々に変化します。絶対的な対策はないという前提で、万一、侵入された場合にも備えておく必要があります」

 たとえば、攻撃用プログラムは、ウイルス対策ソフト、ネットワーク監視ツールなどを活用すると発見できることがある。通常の業務が終わった時間帯に外部と通信するといった不審なパソコンを発見することでも、攻撃を検知することができる。

(ライター 森川滋之、監修・支援 ラック)

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。