データの盗聴
こちらでは、脆弱性におけるデータの盗聴について紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。
スニッフィング(データ盗聴)とは
スニッフィング(データ盗聴)とは、インターネット通信で使用される「パケット通信」を不正に盗み見ることで、ユーザーの個人情報を取得するサイバー攻撃 です。
通常通信データはパケットに分割され、送受信されます。
スニッフィングは、そのパケットを途中で盗み見る行為であり、個人情報や機密情報を盗み取る目的で使用されます。
被害事例は、口座情報やクレジットカード情報などが盗まれることがあり、金銭的な被害を被るケースがあります。
スニッフィング被害を防止するには十分な注意が必要であり、オンライン上でのセキュリティを高めることが重要です。
スニッフィング(データ盗聴)の対策方法
データ盗聴を防ぐ対策方法は以下の3つです。
- フリーWi-Fiは使わない
- 多要素認証を利用する
- HTTPSによる通信
フリーWi-Fiは使わない
フリーWi-Fiは不特定多数の人が利用するため、暗号化されていないことが多いです。
仮に暗号化されていても不十分なセキュリティにより、データ通信を盗聴される可能性があります。
他には攻撃者がアクセスポイントになりすまして、インターネット利用者の通信を傍受しているケースもあります。
そのためやむを得ずフリーWi-Fiを使用する場合は、VPNでセキュリティを確保しながら最小限の利用にしてデータ侵害の可能性を低減することが重要です。
多要素認証を利用する
多要素認証とはパスワードだけでなく、「指紋」「スマホアプリでの認証」など追加の情報を使って本人確認を行う認証方式です。
従来のパスワードだけの認証では、パスワードが漏洩してしまった場合、不正アクセスされてしまう危険性があります。
しかし、多要素認証によりパスワードに加えて別の認証方法を要求することで、認証、トラフィックの安全性、不正アクセスの防止ができます。
HTTPSによる通信
WebページやWebアプリケーションなどのデータ通信に用いられるプロトコルにはHTTPとHTTPSの2種類があります。
両者の違いは、通信内容を暗号化しているかどうかです。
HTTPSによる通信を使うことで情報の機密性が向上するため、Webサイトやアプリケーションを運用する上でメリットがあります。
そのため、Webサイトやアプリケーションを運用する場合、HTTPS通信に対応するのがよいでしょう。
代表的なデータ盗聴の事例
データの盗聴
脆弱性を放置すると、データの盗聴のリスクも高まります。自社のネットワークの脆弱性を狙って、社内のファイル共有サーバーなどに侵入し、機密情報や顧客情報、送受信されるメールの内容などを盗み見られてしまいます。
企業の機密情報では、未発表の新製品情報や顧客情報が外部に流出してしまうと大きな損失になりかねません。
マルウェア感染
マルウェアとは、悪意をもって作成されたソフトウェアの総称です。マルウェアの感染は、メールにマルウェアを添付して開封させたり、悪質な第三者が自らネットワークに侵入して感染させたり、企業のWEBサイトにマルウェアを仕掛けて訪問したパソコンを感染させたり、USBメモリにウイルスを仕込んでばら撒いたりするなど、さまざまな手口が存在するため、注意が必要です。
情報の改ざん
脆弱性を放置したままの自社のネットワークに侵入されてしまうと、知らない間に情報を改ざんされる危険性が出てきます。たとえば、社内の経理情報を統括しているシステムに侵入された場合、自社のWEBサイトの情報を勝手に変更されたり、売上に関する情報を書き換えられてしまったりなどの被害が想定されます。
その他、直接業務に関わる重要なファイルを改ざん・削除されるなど、自社のファイルに自由に手を加えられてしまう恐れがあるため、早急な対策が必要です。
データの盗聴が起きる原因
内部ネットワークに侵入されてしまう以外に、企業が公開しているウェブサイト上でもデータが盗まれてしまう可能性があります。ウェブサイトにSQLインジェクションという脆弱性がある場合、ウェブサイト上の入力フォームに不正な文字列を挿入すると、不正にデータベースにアクセスすることができてしまいます。その結果、データベース内の個人情報が盗まれ、情報漏えいにつながってしまいます。
本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。
専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
