たかが入力フォーム、されど入力フォーム、意識してますか?
御社のサイトには入力フォームがあるでしょうか?もし、ある場合、それはどのようなもので、どのような点を意識されているでしょうか?制作会社に任せているケースも多いと思いますが、制作会社に任せきりで、何を意識して作成しているかはよく知らない。ということはないでしょうか?
入力フォームの裏側ではプログラムが動いています
入力フォームに名前や住所などを入れてボタンを押す。画面の操作は単純ですが、その裏側では、入力されたデータをチェックしたり、データベースに登録したり、加工・整形して画面データを作ったりと、様々な処理が行われています。これらは全て、サーバー側に設定されたプログラムによって行われているものです。
その作りは簡単なものから、複雑なものまで色々ありますが、ユーザを惹き付けるコンテンツリッチなフォームを選択するなら、プログラムの作りも、その内容に応じて、当然、複雑なものとなっていきます。
プログラムが複雑になることによって生じるのが、「プログラムの脆弱性問題」です。
プログラムが複雑になれば、フォームに入力されるデータによっては、誤動作を引き起こすことに繋がる可能性が生まれます。プログラム自体が複雑になれば、テストにかかる手間も格段に増えていくことになり、時間と予算が限られている中では、脆弱性を見つけることがなかなか難しくなります。
しかし、攻撃者側は時間も予算も気にすることなく、攻撃を仕掛けてきます。脆弱性のあるサイトを見つければ、それは金鉱脈を掘り当てるに等しいので、攻撃にかかかる手間・時間・予算など気にしません。そもそも彼らは納品物など作成する必要など無いのですから、制作会社よりもずっと有利な条件で脆弱性を見つけることに集中できるというわけです。
予算をかけられない部分ほど要注意
Webサイトのメインコンテンツとして、アクセス数が多く、また、登録の数も多いようなページであれば、それなりの予算をかけて作成をされるでしょうから、脆弱性対策も相応に行われるかと思いますが、例えば、サブコンテンツのアンケートページや、汎用的なお問い合わせページなど、メインのコンテンツからは外れていて、アクセス数もあまりないので、制作にたいして予算がかけられない。というようなページは、メインのコンテンツほど力を入れて作成されていない事が多いものです。
例えば、入力フォームの登録ボタンを押したら、内容が担当者宛にメールで送られるようになっている。というものは多いと思いますが、予算があまりかけられないようなページでは、二重登録のチェックや、適切でないデータの入力チェックなどは行っていないというケースもあると思います。
検索エンジンがページをクロールするように、攻撃者側はこうしたガードの低いページを探してサイト中をクロールし、「カモ」になるようなページを見つければ、即座に脆弱性を突く攻撃を手当たり次第に仕掛けてきます。その数は、秒間に何通、何十通という数です。
このような攻撃が仕掛けられた時、入力フォームを処理するプログラムが、登録されたデータを単純にメールで担当者に送るような処理しかしなかったらどうなるでしょうか?
しかも、攻撃者は担当者が会社にいるような時間帯よりも、会社にいない時間帯(例えば深夜・早朝など)を狙ってきます。そうすれば攻撃を邪魔されずに済むからです。
深夜から早朝にかけて、秒間何通もの登録が行われれば、1時間に送られるメールの数は1万通を越えます。それが何時間にも亘って続けられたとしたら・・・。
これは可能性の話ではありません。実際に起きている現実です
運悪く脆弱性を見つけられてサイトを乗っ取られればアウト、さらに、担当者が朝、会社に出社したら、メールボックスには何十万通ものメールが送られてきていて、パソコンを立ち上げても、メールソフトが何十万通ものメールを受信しようとして全然使えるようにならない・・・。これはもう最悪です。
もし、御社がレンタルサーバでサイトを運用しているとしたら、レンタルサーバ側でメール送信数に制限がかけられている事もあると思います。その場合、フォームからの登録によって送られるメールの数があっという間に上限数一杯に達してしまい、メールの送信がロックされてしまうということも起こりえます。
サイト上で商品を販売しているような場合は、メール送信がロックされてしまうことによって、問い合わせが受けられないとか、商品購入ができないなど、メインのコンテンツにも影響が及ぶような障害に繋がることもありえます。このような場合に御社が受ける損害は一体、幾らくらいのものになってしまうでしょうか?
実際にこのような被害に遭った経験が無ければ、ピンとは来ないかもしれませんが、これは架空の話ではなく、現実に起きている話です。そして、今もどこかのサイトでこのような攻撃が行われ続けています。
あなたのサイトにも思い当たる部分があるなら、今すぐ対策をしておくことをお薦めします。
たかが入力フォーム、されど、入力フォームです。
→次の記事へ( インターネットバンキングの不正送金被害、法人も補償対象へ )