この記事の執筆者
本稿では、Webセキュリティの入門編として分かりやすく、最新動向なども交えながら脆弱性対策とWAFをテーマにした情報をお届けします。
情報セキュリティ10大脅威に見る最新動向
本稿は脆弱性対策とWAFがテーマですが、まずはIPAの情報セキュリティ10大脅威 2025をもとにセキュリティ動向を広く見ていきましょう。最初に「組織」向けの脅威についてです。
|
順位 |
情報セキュリティ10大脅威 2024『組織』 |
情報セキュリティ10大脅威 2025『組織』 |
|
|
1 |
ランサムウェアによる被害 |
→ |
ランサムウェアによる被害 |
|
2 |
サプライチェーンの弱点を悪用した攻撃 |
→ |
サプライチェーンや委託先を狙った攻撃 |
|
3 |
内部不正による情報漏えい等の被害 |
↗ |
システムの脆弱性を突いた攻撃 |
|
4 |
標的型攻撃による機密情報の窃取 |
↘ |
内部不正による情報漏えい等の被害 |
|
5 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
↘ |
機密情報等を狙った標的型攻撃 |
|
6 |
不注意による情報漏えい等の被害 |
↗ |
リモートワーク等の環境や仕組みを狙った攻撃 |
|
7 |
脆弱性対策情報の公開に伴う悪用増加 |
New |
地政学的リスクに起因するサイバー攻撃 |
|
8 |
ビジネスメール詐欺による金銭被害 |
ランク外 |
分散型サービス妨害攻撃(DDoS 攻撃) |
|
9 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
↘ |
ビジネスメール詐欺 |
|
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
↘ |
不注意による情報漏えい等 |
左から順位、2024と2025の対比となっており、本稿では赤で色付けをした脅威について解説します。
※他の脅威に関する解説については、こちらの記事で要約をまとめています。
トップは10年連続ランクインのランサムウェア
1位は10年連続でランクインしている「ランサムウェアによる被害」です。
ランサムウェア攻撃の経路はリモートデスクトップとVPNで8割を超えると言われており、経済産業省がASM導入ガイダンスを公開しているなど、外部公開資産が狙われているという実態が明らかになっています。
脆弱性対策の重要性
本稿のテーマにも深い関りがある脆弱性を突いた攻撃ですが、過去にランクインしていた「ゼロデイ攻撃」や「脆弱性情報の公開に伴う悪用」が統合されたかたちでランクが上がっています。
前述のランサムウェアにおいてVPN機器の脆弱性が狙われるケースが非常に多いほか、WebセキュリティにおいてもWebサイトの脆弱性を狙った攻撃が多発しています。
DDoSの脅威が再びランクイン
情報セキュリティ10大脅威 2025では、DDoS攻撃が5年ぶりにランクインしました。2024年末以降、日本国内で過去大規模とも言われたDDoS攻撃の被害があったことが記憶に新しく、予想通りの再ランクインという結果になりましたが、他の脅威を含めランク外だからといって脅威が去ったわけではないことが示された一例であると言えます。
地政学的リスクに伴うサイバー攻撃が初のランクイン
7位に地政学的リスクに伴うサイバー攻撃が初ランクインとなりました。
これは政治的・軍事的な要因などがサイバー攻撃につながることを指していますが、これまで触れたランサムウェアや脆弱性の悪用、DDoS攻撃はその手法になると捉えることができ、情報セキュリティ10大脅威 2025「組織」は様々な視点で脅威を捉え、対策を考えるための良い指針になります。
続いて、「個人」向けの脅威を見ていきましょう。
|
情報セキュリティ10大脅威 2025『個人』 |
初選出年 |
10大脅威での取り扱い(2016年以降) |
|
インターネット上のサービスからの個人情報の窃取 |
2016年 |
6年連続9回目 |
|
インターネット上のサービスへの不正ログイン |
2016年 |
10年連続10回目 |
|
クレジットカード情報の不正利用 |
2016年 |
10年連続10回目 |
|
スマホ決済の不正利用 |
2020年 |
6年連続6回目 |
|
偽警告によるインターネット詐欺 |
2020年 |
6年連続6回目 |
|
ネット上の誹謗・中傷・デマ |
2016年 |
10年連続10回目 |
|
フィッシングによる個人情報等の詐取 |
2019年 |
7年連続7回目 |
|
不正アプリによるスマートフォン利用者への被害 |
2016年 |
10年連続10回目 |
|
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
2019年 |
7年連続7回目 |
|
ワンクリック請求等の不当請求による金銭被害 |
2016年 |
3年連続5回目 |
「個人」については順位ではなく、私たち自身が脅威を認識し、適切に対策することが求められることから五十音順で並べられています。
狙われるECサイト
本稿のテーマとしているWebセキュリティでは、赤字でピックアップした脅威が私たち個人にとって身近であり、インターネット上のサービスを狙う攻撃手法として、今でもXSS(クロスサイトスクリプティング)やSQLインジェクションなどの脆弱性の悪用、不正ログインによる事例が多数発生しています。
ここ数年はXSSによって決済アプリケーションが改ざんされる事例が多く、ECサイトからクレジットカード情報が漏えいする事例は、今後も増加する可能性が高いと言われています。
WebスキミングによるECサイトからのカード情報漏えい
Webスキミングとは
ECサイトなどのWebアプリケーションに不正なスクリプトを埋め込み、ユーザーが入力したクレジットカード情報や個人情報を窃取する攻撃がWebスキミングです。
外見上の異常に気付かないまま、Webサイト上で入力された情報が攻撃者の手に渡り、悪用されるため、ECサイトの運営者、利用者ともに被害に遭っていることが分からないことが多く、大きな脅威となっています。
蓄積型XSS(Sotred cross-site scripting)の脅威
WebスキミングによるECサイトからのクレジットカード情報の漏えいの手口として、蓄積型・格納型・持続型と呼ばれるXSSが悪用されています。
一例となりますが、ECサイトの問い合わせフォームやレビューといった機能に蓄積型XSSの脆弱性があると、管理者が問い合わせ内容やレビューを確認、承認するといった操作を行った際に攻撃を受けます。
結果、利用者がクレジットカード情報を入力・送信すると、攻撃者にも送信されるように決済アプリケーションが改ざんされてしまうという事例が増えています。
ECサイトの運営者、利用者ともに気付くことが難しいため、長期にわたって攻撃を受けてしまう可能性が高く、非常に深刻な脅威となっています。
今も続く、SQLインジェクションによる大規模な情報漏えい
XSS同様、SQLインジェクションもよく知られている脆弱性ですが、大規模な情報漏えいにつながるケースが多く、今でも多数の事例が確認されています。
|
公表時期 |
業種・種別 |
被害規模 |
原因 |
|
2024年5月 |
ハウスメーカー |
約29万件の個人情報漏えい |
SQLインジェクション |
|
2024年8月 |
ふるさと納税特設サイト |
約41万件の個人情報漏えい |
SQLインジェクション |
|
2025年6月 |
教育・出版 |
約32万件の個人情報漏えい |
SQLインジェクション |
最初の事例は、昨年の大手ハウスメーカーからの大規模な情報漏えいですが、過去に運用していたページにSQLインジェクションの脆弱性があったことが原因で、ページの存在は認識していたものの、メンテナンス未実施であったということが分かっています。
本稿のテーマにも関わる「システムの脆弱性を突いた攻撃」の影響を受けた事例ではありますが、Webサイトの運用の問題がなければ、防ぐことができていた可能性が高く、運用面の対策が重要であることを再認識する事例とも言えます。
Webサイトを狙う攻撃の侵入口とは
Webサイトに対する攻撃の侵入口は、大別すると2つです。それは、脆弱性を突いた攻撃と認証の弱点です。
- アプリケーションやライブラリなどの脆弱性の悪用
-
弱いパスワードポリシーや管理ページの露呈など認証の弱点
安全なWebサイトの運営には、脆弱性対策と認証の強化が重要であり、以下のような対策を組み合わせた取り組みが有効です。
本稿では、脆弱性対策を行うための一つの手法として、脆弱性そのものを発見・対策につなげる脆弱性診断と運用面の対策に有効なWAFに関する説明をします。
脆弱性診断
脆弱性診断とは、システムやソフトウェア、ネットワークにセキュリティ上の弱点(脆弱性)がないかを診断することです。
※本稿ではWebアプリケーションの脆弱性診断を取り上げます。
Webアプリケーションの脆弱性診断を実施することで、Webサイト上にXSSやSQLインジェクションといった脆弱性のほか、認証や認可制御の問題がないかをチェックすることができます。
WAF
WAFはWeb Application Firewallの略であり、それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
WAFを導入することで、XSSやSQLインジェクションといったWebアプリケーションの脆弱性を突いた攻撃を効率的に検知・防御することができます。
脆弱性診断とWAFはどちらが重要なのか
脆弱性診断とWAFは、どちらもウェブアプリケーションのセキュリティ向上に貢献しますが、その役割は異なります。
脆弱性診断は、Webアプリケーションに潜在するセキュリティ上の弱点(脆弱性)がないかをチェックします。脆弱性診断により、攻撃者に悪用される可能性のある弱点を事前に特定し、修正することができます。
一方、WAFは、Webアプリケーションに対するサイバー攻撃をリアルタイムで検知・防御する対策であり、安全なWebサイトの運用にその効果を発揮します。
青が脆弱性診断で対策できる範囲で、オレンジがWAFで対策できる範囲です。
脆弱性を発見し、対策につなげる脆弱性診断の役割と攻撃を検知・防御するWAFの役割は異なりますが、それぞれを補う関係にあります。
このように、脆弱性診断とWAFはともに重要であり、2つの脆弱性対策を効率的に活用することで、Webセキュリティを強化することができます。
脆弱性対策におけるWAFの必要性とメリット
脆弱性対策におけるWAFのメリットの一つとして、Webサイト全体に対して均一に防御の機能を働かせることができる点にあります。
前述の事例で、メンテナンス未実施であったWebサイトがSQLインジェクション攻撃を受けた事例がありましたが、WAFが導入されていれば攻撃の防御のみならず、脅威の検知にもつながったと考えられます。
また、脆弱性診断とWAFはそれぞれを補うことを説明しましたが、コストやスケジュールの関係で脆弱性診断を行う対象のサイト数や診断範囲(ページ数などの規模)が絞られるケースもあります。このような場合であっても、運用面の対策としてWAFが導入されていると、セーフティネットとして大きな役割を果たします。
クラウド型もソフトウェア型も!WAFなら「SiteGuardシリーズ」
いかがでしたでしょうか?情報セキュリティ10大脅威をもとにセキュリティ動向や事例をご紹介し、Webセキュリティをテーマに脆弱性対策について説明しました。
EGセキュアソリューションズ株式会社では、本稿でご紹介したWAF「SiteGuardシリーズ」の開発・販売・サポートをしています。マネージドに対応したクラウド型、ソフトウェア型のWAFをラインナップしており、Webサイトの特性やコストに合った製品・プランをお選びいただけます。
ホスティング・クラウド事業者とのパートナーシップによるWAFの標準実装、またはオプション提供の実績が豊富で、「SiteGuardシリーズ」による保護対象150万サイト以上という実績がございます。
さらにコストパフォーマンスにも自信を持っており、クラウド型の場合は月額2万5千円~、ソフトウェア型の場合は年額25万2千円~と、安価に導入いただけます。
Webサイトのセキュリティ対策に、ぜひ国産WAF「SiteGuardシリーズ」をお役立てください。
