当社はIT技術のオンライン教育を得意としたセミナー専門会社です。 | 一戸英男

ITエンジニアの技術力UPをお約束します。

セキュリティとWEBマーケティング「認識し難い攻撃と統計情報ああー勘違いの巻」

セキュリティとWEBマーケティングは一見すると互いに結びつかない知識のように感じる人も多いだろうと思う。現実的には今のネットワーク社会では犯罪の裏にネットワーク上の攻撃や詐欺が蔓延しており、WEBマーケティングに対する脅威は日々増え根拠は十分にあると言えます。


例えば、アメリカで起きているセキュリティ攻撃には相手企業を陥れるためのネットワーク攻撃があります。相手企業のWEBサーバがダウンすれば、影響を受けて当然、2番手、3番手の企業の売上は伸びることでしょう。しかしこの手の攻撃は攻撃する側も足がつかないようにするために、リスクに備えるための準備と攻撃基地を作るのにコストがかかる。まず日本ではかなり法整備やプロバイダー、警察の連携が大分整ってきたため足がつきやすいのは間違いない。よって日本でこのような事をやろうとしたら、海外にホスティングを借りて尚且、足がつかないホスティング業者や国を選択することになるだろう。また攻撃契約者とも足がつかないようにするのだと思います。


サイレントな攻撃パターン

以上の攻撃パターンは今までの典型的な攻撃の説明ですが、一番怖いのはサイレントな気が付きにくい攻撃だったりします。気が付きにくい攻撃とはさて何でしょうか?幾つか例をあげてみたいと思います。

  1. サイトを殺さない程度に負荷をかけるDoS攻撃
  2. サイトに侵略しても改ざんもウィルスも設置ぜず、攻撃ステーションとして利用する。
  3. コンテンツの見かけの改ざんはせずに、サイト転送処理を行ってアクセスを散らす
  4. わざと404エラーを大量発生させる。
  5. わざと1ページ離脱を大量発生させる。
  6. WEBの slow loris 攻撃でゆっくりと攻撃。WEBサイトをチアノーゼに追いやり、正常アクセス減、しかもセキュリティブロックを回避する。
  7. 大量のコピーサイトを作成する。これによりオリジナルサイトが判定の勘違いで下げられてしまう場合も少なからずある。

以上のパターンが有名なところだろう。この攻撃パターンはGoogleの検索順位に確実に影響を与えます。しかもWEB担当者が攻撃されていることに気づかないため改善策を講じないからどんどん評価がゆっくり悪くなる。

検索順位に関わるSEO評価基準の例

  • サイトの表示速度は順位に影響する
  • 大量の404エラーは順位に影響する。
  • 重複サイト、重複ページは著しい低評価を与える。尚且、何が正しいか判断もつきにくい
  • 不用意なリダイレクトは評価を下げる

マーケティング統計情報の嘘と勘違い

どのWEBサイトにも、今は何かしらの計測用の埋め込みがされているのが普通では無いでしょうか?いちばん有名なところではGoogle Analyticsだと思います。この計測値は全てが本物のアクセスカウントだと思ったら大きな勘違いだと断言します。その理由は次にあげたいと思います

  • 攻撃のアクセスは必ずしもエラーにならず、HTTPレスポンスで通常の「200 OK」ステータスも取れる攻撃はかなり多い。
  • DoS攻撃は「200 OK」ステータスで攻撃が基本。シャットアウトされないように攻撃するのがセオリーだ。
  • マーケティングで良い評価になるよう攻撃し、油断&勘違いさせてサイトの向上努力をさせない。

今はスレイピング技術が各種プログラミング言語で発達しているため、高度な人間がクリック、入力したような動作をシュミレーションすることが出来ます。すなわちこれを応用して高度な攻撃が可能です。

セキュリティを向上させるとアクセス数が減る?

これも原因が2パターンあります。一つは例えばSSL化するとセキュリティの向上につながる事があります。つまり今までの攻撃が無効になることで、アクセスカウントに変換されていた攻撃がなくなるので、一見するとアクセス数が減ったように見えるというものです。ただし、セキュリティが強くなったからRejectされたのではなく、攻撃者がhttpsで攻撃する頭がなかった(笑 からhttpsにすると攻撃スクリプトがhttpだから弾かれるわけです。私の経験上の統計ではどのサイトも平均して20%~40%の攻撃カウントがアクセス数に含まれています。つまりSSL化したタイミングでアクセス数が激減するのは正常なカウントだけになったからなのです。攻撃カウントがゼロにはなりませんが、大幅にカウントが減るため皆導入後に躊躇します。こういう事が原因だったんですね。


2つ目は、セキュリティが強く効きすぎて正常なアクセスが遮断されるというものです。クッキーやセッション絡み、あるいはWAFの誤検知などがあげられます。これが様々な条件で生じるためテストの段階ではすり抜けてしまい結果的にエンドユーザ側で生じてしまうというケースです。