こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社フジ・メディア・ホールディングス傘下の株式会社エフシージー総合研究所は5月24日、不正アクセスによるメールアドレス漏えいの可能性について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】WebサーバにSQLインジェクションの攻撃があり、メールアドレスが漏洩してしまったということです。今回、行われたサイバー攻撃の内容と、その対策について説明します。
今回のインシデントでは、Webサーバに登録されている利用者のメールアドレス最大35,000件が漏えいしました。原因として、1秒間に100回以上のSQLインジェクションによるフラッド攻撃が行われたことが挙げられています。
対策として、異常を感知した当該サーバが自動シャットダウンしており、再発防止策として、関係当局や関係各所への連絡・相談を行い、事実関係の解明に向け調査と対応を進めているということです。
フラッド攻撃とは、システムに対して負荷をかけ続けて、リソースの許容範囲を超えさせることにより、利用できない状態に陥らせることを目的としたサイバー攻撃です。主に公開サーバの設定不備をつく形で、システムに合わせた様々なタイプのフラッド攻撃が存在します。
例えば、Aさんが担当するお客さんからお仕事の依頼を受けたとします。1つ、2つであれば問題なくこなせていたとしても、10個以上のタスクを並行して抱えてしまうと、1つも対応できなくなってしまうことがあるのではないでしょうか。これらがフラッド攻撃に近い状態であると言えます。
今回のSQLインジェクションにあてはめて推測してみると、Webサーバからデータベースへの接続数に制限があることが考えられます。仮にこの上限が1,000だとすると、1秒間に100回以上のSQLインジェクションを受けると、10秒以内に接続数があふれて、システムが停止してしまう可能性があります。
なお、フラッドは洪水という意味もありますので、コップから水があふれてしまう攻撃をイメージしていただくとわかりやすいかもしれません。
異常なアクセスを検知した場合の対策として、まず異常を検知するためにログを監視することと、アクセス元のIPを遮断することが挙げられます。
先ほど、フラッド攻撃の説明として、Aさんが受ける仕事の量を例として挙げました。Aさんの許容範囲を超えて仕事ができなくなる状態を避けるためには、周りの誰かがしっかりAさんの状態を見守り続けて、仕事があふれそうになった際は、お客さんからの依頼を止めることが必要です。また、Aさんから、仕事があふれそうになる前に知らせてくれることも有効です。
システムに話を戻すと、まず、フラッド攻撃を検知するためには、異常を検知するためにアクセスをログに記録し、監視することが必要です。また、ログにアクセスの詳細が記録されており、明らかに異常なパターンのアクセスであった場合は、セキュリティ対策プログラムがフラッド攻撃として検知してくれる場合があります。
また、システムの許容範囲に対して閾値を設けて、その値を超える前にアラートを上げて管理者に知らせることも有効です。常に多くのアクセスがあるWebサーバでも、今回のインシデントのように単一のIPアドレスから大量のアクセスがあった場合は、フラッド攻撃とみなすことができます。
今回は、フラッド攻撃の内容とその対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
