当社はIT技術のオンライン教育を得意としたセミナー専門会社です。 | 一戸英男

ITエンジニアの技術力UPをお約束します。

セキュリティとWEBマーケティング「認識し難い攻撃と統計情報ああー勘違いの巻」

セキュリティとWEBマーケティング「認識し難い攻撃と統計情報ああー勘違いの巻」


セキュリティとWEBマーケティングは一見すると互いに結びつかない知識のように感じる人も多いだろうと思う。現実的には今のネットワーク社会では犯罪の裏にネットワーク上の攻撃や詐欺が蔓延しており、WEBマーケティングに対する脅威は日々増え根拠は十分にあると言えます。


例えば、アメリカで起きているセキュリティ攻撃には相手企業を陥れるためのネットワーク攻撃があります。相手企業のWEBサーバがダウンすれば、影響を受けて当然、2番手、3番手の企業の売上は伸びることでしょう。しかしこの手の攻撃は攻撃する側も足がつかないようにするために、リスクに備えるための準備と攻撃基地を作るのにコストがかかる。まず日本ではかなり法整備やプロバイダー、警察の連携が大分整ってきたため足がつきやすいのは間違いない。よって日本でこのような事をやろうとしたら、海外にホスティングを借りて尚且、足がつかないホスティング業者や国を選択することになるだろう。また攻撃契約者とも足がつかないようにするのだと思います。


サイレントな攻撃パターン

以上の攻撃パターンは今までの典型的な攻撃の説明ですが、一番怖いのはサイレントな気が付きにくい攻撃だったりします。気が付きにくい攻撃とはさて何でしょうか?幾つか例をあげてみたいと思います。

  1. サイトを殺さない程度に負荷をかけるDoS攻撃
  2. サイトに侵略しても改ざんもウィルスも設置ぜず、攻撃ステーションとして利用する。
  3. コンテンツの見かけの改ざんはせずに、サイト転送処理を行ってアクセスを散らす
  4. わざと404エラーを大量発生させる。
  5. わざと1ページ離脱を大量発生させる。
  6. WEBの slow loris 攻撃でゆっくりと攻撃。WEBサイトをチアノーゼに追いやり、正常アクセス減、しかもセキュリティブロックを回避する。
  7. 大量のコピーサイトを作成する。これによりオリジナルサイトが判定の勘違いで下げられてしまう場合も少なからずある。

以上のパターンが有名なところだろう。この攻撃パターンはGoogleの検索順位に確実に影響を与えます。しかもWEB担当者が攻撃されていることに気づかないため改善策を講じないからどんどん評価がゆっくり悪くなる。

検索順位に関わるSEO評価基準の例

  • サイトの表示速度は順位に影響する
  • 大量の404エラーは順位に影響する。
  • 重複サイト、重複ページは著しい低評価を与える。尚且、何が正しいか判断もつきにくい
  • 不用意なリダイレクトは評価を下げる

マーケティング統計情報の嘘と勘違い

どのWEBサイトにも、今は何かしらの計測用の埋め込みがされているのが普通では無いでしょうか?いちばん有名なところではGoogle Analyticsだと思います。この計測値は全てが本物のアクセスカウントだと思ったら大きな勘違いだと断言します。その理由は次にあげたいと思います

  • 攻撃のアクセスは必ずしもエラーにならず、HTTPレスポンスで通常の「200 OK」ステータスも取れる攻撃はかなり多い。
  • DoS攻撃は「200 OK」ステータスで攻撃が基本。シャットアウトされないように攻撃するのがセオリーだ。
  • マーケティングで良い評価になるよう攻撃し、油断&勘違いさせてサイトの向上努力をさせない。

今はスレイピング技術が各種プログラミング言語で発達しているため、高度な人間がクリック、入力したような動作をシュミレーションすることが出来ます。すなわちこれを応用して高度な攻撃が可能です。

セキュリティを向上させるとアクセス数が減る?

これも原因が2パターンあります。一つは例えばSSL化するとセキュリティの向上につながる事があります。つまり今までの攻撃が無効になることで、アクセスカウントに変換されていた攻撃がなくなるので、一見するとアクセス数が減ったように見えるというものです。ただし、セキュリティが強くなったからRejectされたのではなく、攻撃者がhttpsで攻撃する頭がなかった(笑 からhttpsにすると攻撃スクリプトがhttpだから弾かれるわけです。私の経験上の統計ではどのサイトも平均して20%~40%の攻撃カウントがアクセス数に含まれています。つまりSSL化したタイミングでアクセス数が激減するのは正常なカウントだけになったからなのです。攻撃カウントがゼロにはなりませんが、大幅にカウントが減るため皆導入後に躊躇します。こういう事が原因だったんですね。


2つ目は、セキュリティが強く効きすぎて正常なアクセスが遮断されるというものです。クッキーやセッション絡み、あるいはWAFの誤検知などがあげられます。これが様々な条件で生じるためテストの段階ではすり抜けてしまい結果的にエンドユーザ側で生じてしまうというケースです。

タグ: , , ,

よくある幅広く信じられているセキュリティ勘違い-その1(メール編)


皆さんの周りに会社間の取引で見積りや重要書類を送るときにメールを2回送って、1回目はZIPパスワード付き書類で2回目はパスワードを送るという方法でやっている会社が非常に多くありませんか?



これ、実はとんでもない大きな誤りなのです。全く安全ではありません。

メールのヘッダーはSMTPコネクションで相互に交換する際に暗号化されませんしスニファー機能があるソフトで簡単にトラッキングできます。メールで暗号化されるのはメールクライアントとメールサーバ間だけであり、メールサーバから宛先のメールサーバ間は必ずしも暗号化されていません。暗号化には送信側と受信側の両方が暗号化通信に対応している条件が整っていなければただの平文が流れていると思ってください。

FromアドレスとToアドレスがネット上の通信パケットでテキストで読めるのですから例えばWireShark等のネットキャプチャーソフトでフィルターかけてトラッキングすれば簡単にわかります。
でも一般の方はこの事知られていないし、固くそれが安全だと信じています。



この方法の場合、少しやり方を変えて、最初のメールを送るまではOKです。2回目のメールのパスワードを送る箇所を別の方法に変えるとかなり安全になります。

  • パスワードはビジネス用SNSで送る。
  • または電話で相手に伝える。
  • SMSで送る

上記のように何れかの方法にするとかなり安全になります。しかし、最初のZIPパスワード付きなのですが、これは100%パスワード解読ではありませんがクラッカーの世界では解読するソフトが流通しています。完全に安全とは言えません。



少々乱暴ですが、Facebookのメッセンジャーやビジネスチャット等で添付して送るほうが何倍も安全です。Lineやfacebookの乗っ取りや事故は多くがセキュリティに疎いユーザがわかりやすいパスワードを付けたり、第三者にわかるようにパスワードを晒したり、スパイウェアをパソコンやスマホの中に感染してしまって起きているものであり、仕組みそのものが全く安全でないということではありません。

メールサーバは暗号化通信においてメールボディを暗号化して送受信を行う技術は確立されていますが、メールを送る先とメールを受け取る先が同じ規格でメールの通信する環境を作っていないと完全なる暗号化の相互受信はできません。
つまり、メールサーバやメールクライアントはその会社、プロバイダー、個人ごとに仕様がまちまちで、お互いに相互受信しようと思ったらノーマルのテキスト通信が一番問題なくメール交換が出来るのです。そりゃそうですよね~相手のメールが暗号化されても自分のメールクライアントが暗号化に対応してなければ受け取っても読めないですから。

タグ: , ,

よくある勘違い。Googleのペナルティについて


よく、ネット上でSEOの検索をすると「Googleのペナルティ」に抵触したとかペナルティを過大に説明されている記事を見ることがあります。しかし、実際にはGoogleがペナルティにすることは稀です。順位下落のほとんどが評価のパススルー(評価除外)によるものです。つまり下落はペナルティーではなく評価されないため順位が落ちたということになります。


本当にペナルティーになるのは、相当悪質なやらせSEOを行っている時であり、基準が明確になっているわけではありませんが、siteコマンドでインデックスされたページが一覧に出てこなければ、その可能性は高いかもしれません。


しかし、これとて必ずしもペナルティーと言い切れません。単にルールから外れたものが検出されたので除外しただけの場合もあります。ペナルティーはページ単位ではなくドメインという大きいくくりで除外された場合はその可能性が高いのかもしれません。

タグ: , ,