「インターネットを活用していない企業はない」といえるほど、今やインターネットは企業活動になくてはならない存在になっています。

その一方で、サーバー向けのセキュリティ対策はあまり意識されず、必要性を感じていない企業がまだまだ多いのが現状です。しかし、サーバー内の情報は悪意あるハッカーなどにとって「宝の山」。サーバー向けのセキュリティ対策は必須といえます。

今回は、サーバーのセキュリティ対策の必要性や対策方法、セキュリティを脅かす攻撃パターンなどを解説します。

サーバーのセキュリティ対策はなぜ必要？

パソコンやタブレットなどをはじめとする端末向けのセキュリティ対策（例：ウイルスソフト）は、セキュリティ対策の基本です。しかし、サーバー自体のセキュリティ対策については、必要性をそこまで感じていない方も多いのではないでしょうか？

ですが、悪意のある第三者からすれば、サーバーも攻撃対象の一部です。しかも内部の機密情報がたくさんある「宝の山」でもあります。

サーバーへの攻撃では、おもに「脆弱性」や「セキュリティホール」が狙われるケースが多く、そういった攻撃を防ぐためにも、サーバー向けのセキュリティ対策は必須だといえます。

実際、数年前にはホームページ閲覧者のクレジットカード情報を狙う「ショッピングサイトの改ざん」被害が拡大しました。これはサーバーを通じたホームページの改ざん被害の分かりやすい事例です。

サービス利用者の個人情報が漏洩し、利用者に実害が発生すれば、損害賠償を請求される事態に発展することでしょう。運営会社は「個人情報を漏洩した会社」という烙印を押され、社会的信用もなくしてしまいます。

今の時代、悪い噂はSNSなどを通じて一瞬で世界中に広まります。自社やユーザーを守るためにも、サーバー向けのセキュリティ対策は必須だと思っておいてください。

サーバーのセキュリティを脅かす攻撃

サーバーのセキュリティを脅かし、企業に実害をもたらす攻撃の種類は少なくありません。ここでは、代表的な攻撃事例を7つあげて解説します。

攻撃1. DDoS攻撃（リフレクション攻撃）

DDoS攻撃とは、複数のコンピューターから特定のサーバーへ一斉にアクセスし、負担オーバーに追い込む攻撃手法のことを指します。

DDoS攻撃では、攻撃対象になるリスクはもちろんのこと、攻撃されたサーバーが踏み台にされ、さらに他のサーバーへの攻撃に悪用されるリスクも発生することは覚えておく必要があります。

また、DDoS攻撃を受けたサーバーは、長時間にわたってサーバーダウンを引き起こしてしまうリスクもあります。

DDoS攻撃自体は古くから存在する攻撃手法ですが、なかでも昨今主流となっている攻撃手法が、「リフレクション攻撃」です。

リフレクション攻撃では、インターネット上で公開されているDNSサーバーやNTPサーバーに対し送信元を偽装したパケット（情報）を送信します。そのうえで、DNSサーバーなどからの返答が攻撃対象に届くようにします。

自社のサーバーが鏡のように悪用され、攻撃の道具にされてしまうことから「リフレクション攻撃」と呼ばれるのです。

・DNSサーバー

ドメイン名とIPアドレスを変換し、紐づける機能を持つサーバー

・NTPサーバー

ネットワーク上で正しい時刻情報を取得・配信しているサーバー

さらに近年では、サーバーだけでなくルーターなどのネットワーク機器が踏み台にされることも増えてきています。それらを防ぐためには、攻撃の対象にされそうな機能を停止したり、外部からのアクセスを制限したりするなどの対策が必要でしょう。

攻撃2. ゼロデイ攻撃

ゼロデイ攻撃とは、OSやミドルウェアなどの脆弱性が発見された際に、そのことが広く知られる前にその脆弱性をつく攻撃手法のことを指します。

なぜ「ゼロデイ攻撃」と呼ばれるかというと、脆弱性が解消された日を1日目（One-day）とすると、その日までは脆弱性が続いていたと解釈し、解消されるまでの日々をゼロデイ（Zero-day）と呼ぶことに由来します。

脆弱性をつくゼロデイ攻撃からサーバーを守る場合、一般的には開発元が提供するセキュリティパッチを適用することになります。しかし、開発元によるパッチ提供が開始される前に脆弱性をついた攻撃を行うのが基本のため、ゼロデイ攻撃を防ぐのは困難です。

攻撃3. SQLインジェクション

SQLインジェクションとは、SQL文（データベースを操作する言語のこと）を利用するデータベースを持つWebサイトやアプリケーションに、偽の命令を注入（インジェクション）することで、データベース上の情報を盗み取ったり、改ざん、消去などを行ったりする攻撃手法のことを指します。

SQLインジェクションのおもな攻撃対象は、脆弱性があるECサイトや会員制Webサイトです。これらのWebサイトでは、データベースを使って会員情報を管理するのが一般的なので、データベースのスキをつかれてしまいます。

攻撃者は、ユーザーID・パスワードを入力する箇所に不正なSQL文をインジェクションします。これにより、データベースに登録された会員情報が盗み取られ、ユーザーになりすましてシステムにログインすることが可能になります。

企業の信頼を損なう情報漏洩にもつながりますので、非常に危険な攻撃パターンといえるでしょう。

攻撃4. ブルートフォース攻撃

ブルートフォース攻撃とは、パスワードを破る攻撃手法のこと。考えうるすべてのパターンのパスワードを試して攻撃してくるため、別名「総当たり攻撃」とも呼ばれます。ブルートフォース（brute force）には、「力づく」や「強引」といった意味があります。

ただ、「総当たり」と言われると、すごく効率の悪い攻撃手法だと感じるかもしれません。たしかに人間が行うと非効率的ですが、プログラムされたコンピューターが総当たり攻撃を行う場合、それほど時間はかかりません。

ブルートフォース攻撃によりサーバー管理者のパスワードが盗まれると、機密情報の漏洩やWebサイトの改ざんなどにもつながりますので、注意が必要です。

攻撃5. クロスサイトスクリプティング

クロスサイトスクリプティング攻撃とは、攻撃対象のWebサイトにトラップをしかけ、攻撃者が用意した悪意のあるWebサイトのスクリプトを実行させる攻撃手法のことを指します。

ユーザーが攻撃対象のWebサイトを訪れトラップに引っかかると、別のWebサイトへ誘導され、スクリプトが実行されてしまいます。

実例として、Twitter上で展開されたクロスサイトスクリプティング攻撃があります。この攻撃では、Twitterのタイムライン上にトラップが仕掛けられ、ユーザーは該当のツイートをマウスオーバーしただけで、埋め込まれたスクリプトが実行されるように仕組まれていました。

このスクリプトが実行されると、スクリプトが埋め込まれたツイートを勝手にリツイートし、それがフォロワーに広がるという、恐ろしい事態が発生していたのです。

サーバーのセキュリティ対策からは少し外れますが、身近なインターネットでも常にこういった攻撃がなされているということは、頭の片隅に置いておきましょう。

攻撃6. DNSキャッシュポイズニング

DNSキャッシュとは、Webサーバーなどがインターネット上で存在する場所（IPアドレス）を示すものです。DNSキャッシュポイズニング攻撃とは、DNSキャッシュをなんらかの不正な手段によって偽のデータへ書き換える攻撃手法のことを指します。

DNSには、ドメインとIPアドレスをつなぐ役割がありますが、この役割にデータを一時的に保存する「キャッシュ」の仕組みを備えたものが、DNSキャッシュサーバーと呼ばれるものです。

このキャッシュの部分に手を加えられることで、ブラウザにドメイン名を入力して表示されるWebサイトが、本物になりすました偽物になる可能性があります。

偽のWebサイトにある問い合わせフォームに個人情報を入力して送信すれば、データはそのまま悪意をもった第三者に送信され、金銭的な被害につながる恐れがあります。

攻撃7. ランサムウェア

ランサムウェアとは、データを暗号化したりロックしたりして使用できない状態に追い込むマルウェアのことを指します。攻撃者はサーバーを使えない状態にしたあと、復元するのと引き換えに身代金（ランサム）を要求します。

マルウェア

コンピューターに有害な動作を及ぼす不正プログラムの総称

こちらはおもに無差別で攻撃を行い、メールやWebサイトを通して、不特定多数のユーザーに対してマルウェアを感染させます。

個人のパソコンやタブレット端末から共有フォルダなどに感染が拡大するリスクがあるため非常に厄介で悪質です。従業員のセキュリティ教育はもちろんですが、企業全体で最新のセキュリティソフトを用いてスパムメールなどをブロックすることが求められます。

サーバーのセキュリティ対策方法

以上のように、企業のサーバーは常に攻撃のリスクにさらされています。ですが攻撃され、情報漏洩やデータの改ざんなどが発生してからセキュリティ対策に本腰を入れても後の祭りです。

ここでは、これだけはやっておきたいサーバーセキュリティの基本的な対策方法を解説します。事故が起きてからでは遅いので、以下の対策だけでも必ず行いましょう。

対策1. セキュリティパッチを適用する

セキュリティパッチとは、OSやソフトウェアに発見された脆弱性・セキュリティの欠陥を修正するためのプログラムのことを指します。

定期的に更新されるセキュリティパッチを適用することで、サーバーへの攻撃対策ができ、セキュリティを高めることにもつながります。

近年では、サーバーをオンプレミスからクラウドで運用する企業が増えてきていますが、クラウドサービスではセキュリティパッチの適用は常に行われ、最新の状態でサーバーを守ってくれます。こういった背景からも、サーバーをクラウド運用に切り替える企業が増えている理由が分かるでしょう。

対策2. パスワードを工夫する

サーバーのパスワードをわかりやすいものに設定してしまうと、ブルートフォース攻撃（総当たり攻撃）で突破されてしまう恐れがあります。一度突破されてしまうと、サーバー内部の情報漏洩やデータの改ざんなどにつながってしまうので、予測されにくいパスワードを設定することが大切です。

【パスワードの工夫方法】

・数字や英文字、記号などを組み合わせる
・個人名や固有名詞、誕生日などは使用しない
・シンプルな文字列は避ける
・桁数を増やす

対策3. ログを管理する

ログ管理とは、「だれが」「いつ」「どのアカウントで」「何をしたのか」といった履歴をサーバーに残し、管理する仕組みのことを指します。

ログ管理を行うことで、サーバー内での操作をさかのぼることができ、悪意のある攻撃の発見に役立ちます。発見できれば、そこからなんらかの対策を講じて不正な操作・攻撃による被害を最小限に抑えることにもつながります。

【対象となるログの例】

・ファイアウォールの通信ログ
・侵入検知システムや侵入防止システムの通信ログ
・データベースサーバーへのアクセスログ
・ファイルサーバーへのアクセスログ
・ログイン認証の成否、ログアウトログ

対策4. 管理者権限のアカウントを変更する

サーバーの管理者権限が付与されているアカウントのID（ = Administrator）を変更するだけでも、サーバーのセキュリティ対策につながります。

管理者権限が付与されているアカウントは、基本的にはサーバーに対して全ての操作を行えます。このアカウントを不正利用されてしまうと、かなりの被害が発生する恐れがあるということはご理解いただけるでしょう。

管理者権限のアカウントを変更することで、アカウントの不正利用から発生しうる、不正アクセスや情報漏洩、データの改ざんといったさまざまなリスクを事前に防ぐことが可能となります。

対策5. 不要なアカウントを削除する

現在使用していないアカウントや使用頻度がほとんどないアカウントなどは、極力削除するのがおすすめです。

その一例として、退職済み社員のアカウントが挙げられます。元社員が退職後に職場のサーバーにアクセスをして機密情報を盗み取る……といった可能性も否定はできません。

また、現社員が退職済み社員のアカウントを不正利用して、クライアントの個人情報を抜き取ることも考えられます。不要アカウントを放置しておくリスクは非常に大きいため、必ず削除するようにしましょう。

対策6. 不要なサービスを停止し、アプリケーションを削除する

不要なサービスやアプリケーションをそのまま放置してしまうと、放置している間に更新を忘れ、セキュリティ上の欠陥が改善されずに脆弱性が高まってしまうリスクが発生します。

事業者が提供しているサービスやアプリケーションは、基本的にはバージョンを更新するたびに最新のセキュリティパッチが適用され、悪意のある攻撃への対策ができるようになっています。

つまり、バージョンを更新せず放置している状態は、セキュリティ上の欠陥を放置し続けることにもつながってしまうのです。

不要なサービスやアプリケーションがある場合は、今すぐ停止・削除し、攻撃によって受けるリスクを事前に回避することが大切です。

サーバーのセキュリティ対策はGIGにお任せください

「うちに限ってサーバー攻撃されることなんてないだろう」誰もがこう思っています。ですが、本当にその油断は禁物です。

情報漏洩やデータの改ざんなどは、絶対に起こしてはいけません。起こさないためにも予算や計画を立て、セキュリティ対策はまんべんなく実施しなくてはなりません。

しかし「どのような対策が自社にとって効果的か」の判断は難しい部分でもありますので、サーバーのセキュリティ対策ついて疑問点がある場合は、ぜひGIGにご相談ください。

豊富な実績が示すように、お客様と丁寧で密なコミュニケーションを重ねてきたと自負しております。

無料相談から承っていますので、ぜひ一度お問い合わせください。

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。