インターネット上で公開しているWebサイトは、常にさまざまな攻撃の対象になり得ます。
攻撃の目的は、サイトの改ざんや情報の窃取、サービスの停止など多岐にわたり、攻撃手法も日々進化しています。
ここでは代表的な攻撃の種類と特徴、基本的な防御の考え方を整理します。
1. SQLインジェクション
データベースを利用しているWebサイトで特に多い攻撃です。
入力フォームやURLパラメータなどに不正なSQL文を仕込むことで、データベースに対し意図しない操作(情報の閲覧、改ざん、削除など)を行わせます。
被害例
顧客情報や会員情報の流出、商品データの改ざん、サイト管理者アカウントの不正取得など。
主な対策
入力値のエスケープ・バリデーション、プレースホルダを用いた安全なSQL実装、データベース権限の最小化。
2. クロスサイトスクリプティング(XSS)
攻撃者が悪意あるJavaScriptコードをWebページに仕込み、閲覧者のブラウザ上で実行させる攻撃です。
フォームやコメント欄など、ユーザーが自由に入力できる場所が狙われやすい特徴があります。
被害例
CookieやセッションIDの盗み取り、偽ログインページによるフィッシング、サイト改ざん。
主な対策
出力時のエスケープ処理、HTML特殊文字の無害化、不要なHTMLタグやスクリプトの除去。
3. クロスサイトリクエストフォージェリ(CSRF)
ユーザーが意図しない操作を、本人になりすまして実行させる攻撃です。
例えばログイン中のユーザーが攻撃者の用意したページを開くと、勝手にパスワード変更や投稿などが実行される恐れがあります。
被害例
アカウントの乗っ取り、勝手な設定変更、偽の購入手続きなど。
主な対策
CSRFトークンの導入、Refererチェック、重要な操作の再認証。
4. DDoS(分散型サービス拒否攻撃)
多数のコンピュータから一斉に大量のアクセスを送り、サーバーに過負荷をかけてWebサイトを利用不能にする攻撃です。
単なるトラフィックの増加ではなく、組織的な攻撃であることが特徴です。
被害例
サイトの停止、ブランドイメージの毀損、長期的な機会損失。
主な対策
CDNやWAF(Web Application Firewall)の利用、トラフィックの自動検知・遮断、冗長構成による負荷分散。
5. ブルートフォース攻撃(総当たり攻撃)
IDやパスワードを総当たりで試してログインを突破しようとする攻撃です。
単純なパスワードや辞書にある単語が使われている場合は特に危険です。
被害例
管理画面やメールアカウントへの不正侵入、データの改ざんや情報漏洩。
主な対策
強固なパスワードポリシー、多要素認証(MFA)、ログイン試行回数の制限。
6. パスワードリスト攻撃
他のサービスから流出したメールアドレスとパスワードの組み合わせを使い、アカウントに不正ログインする攻撃です。
同じID・パスワードを複数サービスで使い回している場合に特に効果があります。
被害例
アカウントの乗っ取り、個人情報の窃取、不正決済。
主な対策
パスワードの使い回し禁止、2段階認証の導入、流出リストとの照合による早期検知。
7. ファイルアップロード攻撃
画像や書類のアップロード機能を悪用し、Webサーバーに不正なスクリプトや実行ファイルを仕込む攻撃です。
被害例
サーバーの乗っ取り、Webサイトの改ざん、不正プログラムの配布。
主な対策
アップロード可能な拡張子やファイルサイズの制限、ファイル内容の検証、アップロード先を公開ディレクトリ外に配置。
8. 中間者攻撃(Man-in-the-Middle)
ユーザーとWebサーバーの通信を第三者が盗聴・改ざんする攻撃です。
特に暗号化されていないHTTP通信で発生しやすく、Wi-Fiスポットなどが狙われることもあります。
被害例
パスワードやクレジットカード番号などの機密情報が漏洩。
主な対策
常時SSL化(HTTPS)、HSTSの設定、VPNの活用。
まとめ
Webサイトへの攻撃は、単一の対策だけでは防ぎきれません。
「入力値の検証」「適切な権限設定」「通信の暗号化」「多要素認証」「WAFやCDNの導入」など、複数のレイヤーで守る「多層防御」が重要です。
また、ソフトウェアやプラグインを最新の状態に保つ、ログを定期的に監視するなどの基本的な運用も欠かせません。
