Webサイトをお持ちの企業の多くがサイトのセキュリティについて聞いてみると
「うちは個人情報とかないから関係ない」「そんなに見られるWebサイトじゃないから大丈夫」と仰る方がいます。
果たしてこの認識は正しいのでしょうか・・・
答えは大きな間違いです。
Webサイトを作られた企業の95%以上は問合せなどのメールフォームを用意されていると思います。ここが大きな落とし穴です。
今回はこのメールフォームに潜むリスクについて見ていきましょう。
目次
メールフォーム(お問い合わせフォーム)を狙う攻撃手法7点
Webサイトのメールフォームの脆弱性を特定する名称は様々ありますが、主に以下のようなものがあります
- クロスサイトスクリプティング(XSS): メールフォームに不正なスクリプトを挿入し、他のユーザーのブラウザ上でそのスクリプトを実行させる攻撃。
- SQLインジェクション: メールフォームの入力値にSQL文を挿入し、データベースを不正に操作する攻撃。
- OSコマンドインジェクション: メールフォームの入力値にシステムコマンドを挿入し、サーバーを不正に操作する攻撃。
- メールヘッダインジェクション: メール送信処理に利用するヘッダ情報に改ざんを加える攻撃。
- クロスサイトリクエストフォージェリー(CSRF): ユーザーが意図しない操作をさせられる攻撃。
- メールスプーフィング:認証情報の偽造により、他人が送信したかのように見せかける攻撃。
- フォームスプーフィング: ユーザーに偽のフォームを表示し、個人情報を盗む攻撃。
メールフォームを設置するだけでこれぐらいの脆弱性は対策する必要が出てきます。
メールフォーム(お問い合わせフォーム)の脆弱性を放置すると発生するトラブル
Webサイトのメールフォームに脆弱性がある場合、次のような問題が発生する可能性があります。
スパムメールの踏み台として利用される
メールフォームの脆弱性を悪用して大量のスパムメールを送信することができます。これは、サイトの信頼性を損ねるだけでなく、メールがブロックされたり、サーバーがオーバーロード状態になったりする可能性があります。
なりすましメールを送信される
攻撃者がメールヘッダを操り、任意の内容のメールを送信者名を偽装したり、受信者のメールアドレスを偽装することができます。なりすましメールにはランサムウェアやマルウェアを忍ばせて送られるケースが多く、お客様や取引先に大変な混乱を与えてしまいます。
メールフォーム(お問い合わせフォーム)を利用したユーザーの個人情報を盗まれる
メールフォームにスクリプトを埋め込み、訪問者の個人情報を盗むなどの悪質な行為を行うことができます。貴社に問い合わせをするユーザーは未来のお客様になりえる方です。その方の情報が全て盗まれてしまうことは企業にとって大きな損失です。
メールサーバーにある個人情報を盗まれる
データベースへの不正なアクセスを可能にする攻撃手法で、ユーザー情報の流出などを引き起こす可能性があります。メールサーバーに残っている個人情報は貴社のお客様や取引先が大半だと思います。その個人情報が盗まれて悪用されてしまうと会社の信用は大きく落ちてしまいます。
問い合わせフォームにフィッシングページを埋め込まれる
ユーザーに偽のフォームを表示し、個人情報を不正に収集する手法です。お客様からの問い合わせが会社に届かないどころか、利用したお客様の個人情報まで全て盗まれてしまうという最悪の状態です。
冒頭に書いた多くの企業の声にあった「うちは個人情報とかないから関係ない」ですが、上記の項目の内スパムメールの送信源と利用されるやメールヘッダインジェクションの目的を持った悪意のある攻撃者がいた場合は個人情報を持っていなくても関係ないですね。「そんなに見られるWebサイトじゃないから大丈夫」と考えている企業にも思い直して頂きたいのですが、スパムメールの送信源と利用されるやメールヘッダインジェクションを狙われた場合はサイトのアクセス数は関係あると思いますか?
盗聴器を付けようとしている犯罪者がいる前で「家の中にはお金がないから関係ない」や「うちは人通りが少ないから大丈夫」と言って鍵をかけてないようなものです。
■参考記事■
メールフォーム(お問い合わせフォーム)の脆弱性で発生する損害
前述したようにメールフォームのセキュリティを確保しないと、サイバー攻撃のリスクが増加する可能性があります。では、サイバー攻撃により何が起こるのでしょうか?
通常業務に大きな支障がでる
スパムメールの送信源と利用された場合、記載されていたメールがブロックされたり、サーバーがオーバーロード状態になったりする可能性があります。メールフォームと従業員が同一のドメインを使用している場合も多く、ある日突然従業員が顧客に送信したメールが届かなくなるなどの問題が発生します。重要な連絡事項を送ったつもりが送れてない。原因を追及してもわからない。こんなことが発生する可能性があります。
サイバー攻撃の加害者になる
メールヘッダインジェクションで記載されていたように、送信者を偽装してメールを第三者より送信してしまう可能性があります。いわゆる「なりすましメール」です。もし悪意のある第三者がEmotetやマルウェアに感染させる内容のメールをあなたのクライアントに送ったらどうなるでしょう?取引先に多大な迷惑をかけてしまいます。「いやいや、取引先もバカじゃないからそんなメール開かないよ」と思ったそこのあなた。実際、取引先から送られたメールを開いてしまい大きな問題になった事例は多数あります。
逆に考えてみてください。もし、あなたのところに取引先のメールアドレスから
件名:【重要:至急確認お願いします】○○の御見積の件
とメールが届いていたら開きませんか?そんなトラブルを御社が起こしてしまう可能性がWebサイトに潜んでいる可能性があります。
今までご説明した中で危険性についてはどうなるのかというという内容について記載致します。下の詳細の項目を読んで頂くよりも先に以下の問いかけに対してイメージしていただいた方が早いかと思います。
・セキュリティに問題がある企業と取引しますか?
・Emotetやマルウェアを送って来た企業をどう思いますか?
・取引先のセキュリティトラブルにより損害が発生したらどうしますか?
恐らく皆さんも同じ答えを思い浮かべたと思います。その答えを記載していきますので、次は自分自身が受ける損害であると思いながら読んでください。
企業イメージの低下
セキュリティが甘い会社、個人情報を安全に管理できない、または個人情報を適切に扱うことができないと評価されると、これまで得てきた信用が失われる可能性があります。セキュリティ対策は、企業の信頼度の維持・向上に不可欠です。
取引停止の可能性
これは絶対とは言えませんが、取引先がセキュリティに厳しい会社であれば可能性は非常に高くなると思います。一部では弊社と取引するためにはセキュリティ項目を全てクリアしていないと取引ができないという企業や業界もあります。
そんな業界にいて前述したようなトラブルを起こしてしまうとどうなるでしょう。
言わずもがなです。
ビジネス機会の滞失
セキュリティに問題があると取引先に思われると「この会社と取引して大丈夫?」と思われるのは間違いないでしょう。一度失った信頼を回復するのは容易ではありません。さらに、インターネット上では、不利益な情報が永久に存在し続ける可能性があります。2008年に発生したトラブルが未だにインターネット上に表示されています。その結果、過去の事実であっても、企業はサイバー攻撃の加害者とみなされ続けます。
このような状況は、目に見えないビジネス機会の損失を引き起こす可能性があります。過去の事件を知って、一部の利用者がサービスの利用を控える可能性があります。
大量の経費
サイバー攻撃により被害が発生した場合、透明性の損失やビジネスチャンスの滞失だけでなく、大きな経費も発生します。主な経費は以下の通りです。
被害の詳細を調査する費用
顧客対応(問い合わせ応答、謝罪など)の費用
損害賠償に対する費用
修正に要するシステム費用
また、これまでのセキュリティ対策が不十分であった場合、新しいセキュリティ対策にかかる費用も必要になります。既に何らかの対策を施していたとしても、サイバー攻撃に対する脆弱性が原因で発生したのであれば、それらの対策にも費用がかかります。
セキュリティ対策が不十分であると、予想外のコストが発生し、企業の経営を圧迫する可能性があります。
メールフォームセキュリティの5つの要点と実装方法
今まで長々と書いてきましたが、メールフォームのセキュリティの重要性については充分理解いただけたかと思います。実際どうやって対策すればいいのかという話ですがここでは簡単に項目だけまとめておきます。
Webサイトのメールフォームのセキュリティ対策は重要です。ここでは、様々なセキュリティリスクを防ぐための対策を行うために重要な5つのポイントを紹介します。
- 送信データの暗号化(SSL化)
明示的に個人情報を収集するメールフォームは、データ盗聴や改ざんのリスクを最小限に抑えるためには、安全なデータ送信が不可欠です。SSL(Secure Sockets Layer)という技術を用いて、通信データを暗号化し、データを安全に格納することが必要です。また、Webサイト全体を「常時SSL化」し、フォームを安全に使用できる環境を提供することを強く推奨します。
- アクセス制御
管理画面への不正アクセスを防ぐために、アクセス可能なユーザーの権限設定が必要です。また、IPアドレス制限や二要素認証など、さらなるセキュリティ強化の仕組みを導入することで、不正アクセスのリスクを減らすことができます。
- スパムメール対策
メールフォームから大量のスパムメールが送信される可能性があるため、スパム対策も必要です。アクセス元のドメイン・IPへの制限やキャプチャ認証などを活用することで、スパムメールの送信を防ぐことが可能です。
- 保管データの暗号化・バックアップ
メールフォームの回答データを安全に保管するためには、データセンターのセキュリティレベルと定期的なバックアップが重要です。個人情報保護の観点からも、データセンターの選択やデータのバックアップは重要なポイントです。
- アプリケーション/OSのセキュリティ強化
データ漏洩や改ざんを引き起こす可能性のある攻撃に対してアプリケーションやOSを強化することが重要です。これには、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)などの攻撃があります。これらの攻撃は、プログラムコーディングやシステム設計の不備によって引き起こされます。対策には、脆弱性診断、コードレビュー、改ざん検知、ウェブアプリケーションファイアウォール(WAF)の導入、侵入検知/侵入防止システム(IDS/IPS)などが有効です。
まとめ
とにかく、この記事で伝えたいことは冒頭に書いてました
「うちは個人情報とかないから関係ない」
「そんなに見られるWebサイトじゃないから大丈夫」
と思わないでくださいということです。
Webサイトをお持ちの企業は等しくリスクにさらされています。上記のようなことを思ってしまう前に一度、secuasの無料診断で自社のWebサイトに潜むリスクを診断してみてください。
診断した結果、リスクが0であれば「大丈夫」と思って頂いて結構です。根拠のない思い込みより無料で数字的根拠を見てみてください。
