N day攻撃にご用心
今回の記事は、Webサイトの保守をしているご担当者様向けです。最近、弊社にもグループ会社や親会社含むWebサイトの保守をしている企業様より「何十とあるサイトの脆弱性診断をしたいと考えているが、コストがかかって仕方ない」「重要サイトは脆弱性診断しているが、LPやPV数の少ないサイトは放置しているので、何か対策を講じたい」とご連絡頂くことが増えています。
今回は、こうした複数のWebサイトを保守しているご担当者様や制作会社様向けに、弊社サービスのご紹介をしたいと思います。
1.N day攻撃とは?
そもそも「N day攻撃」をご存知ですか?よく「ゼロデイ(0 day)攻撃」と、区別がつかなくなっている方もいらっしゃるので、簡単にまとめさせて頂きますと、「ゼロデイ(0 day)」は、脆弱性が発見された日から修正パッチが出来上がるまでの期間です。では、「N day」はというと、修正パッチが公開されてから、利用者側がパッチを適用するまでの期間となります。
どちらとも同じような意味に聞こえますが、ゼロデイについてはほぼ誰も知らないということがポイントです。攻撃者も数多くあるアプリケーション等の脆弱性について、独自で調査して攻撃をしかけてくるのは、それなりに大変な作業になります。ですが、修正パッチが提供された瞬間から、Aというアプリケーションには、”AA”という脆弱性があるということが知られることになります。そのため、その脆弱性をついた攻撃の準備をすることは、未知の脆弱性を突くよりも容易になります。
という事で、Nというのは、パッチ適応するまでの日にちの変数ということになります。
2.N Day攻撃から守る具体的な対策
要するに、Nという変数が長ければ長いほど脆弱性を放置していることになるので、危険に晒されているということになります。日々発生している脆弱性について、専用サイトなどで確認し続けることも大変です。
攻撃者も、公開された脆弱性が残されているWebサイトを探し、対策を講じていないアプリケーションに攻撃する時間が、長ければ長いほど準備が出来るということにもなります。
そのため、Nという(攻撃者の猶予時間)を短くするためには、HPやアプリケーションのリリースや改変時だけでなく、なるべく早急(日次など)でチェックし、対策を講じることが必要になります。
セキュアブレインでは、「GRED Webセキュリティ診断 Cloud」 というWebサイト自動脆弱性診断サービスを提供しています。このサービスでは、対象サイトをご登録いただくだけで脆弱性の診断が可能になります。また日次や週次での診断メニューもあり、いち早く脆弱性の発見をすることが可能になります。
特に昨今では、グループ会社の複数サイトに対して、一律に脆弱性の診断をしたいが予算に見合わないなどで、製品のお問い合わせを頂く機会が増えております。脆弱性を放置してしまっていたがゆえに、重大インシデント(事故)に発展してしまうことも珍しくありません。
必要最低限の脆弱性確認を一律に行い、なるべく早く脆弱性対策を講じることで、こうしたインシデントを防ぐことが可能となります。
製品・サービスのお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
