[https://www.youtube.com/watch?v=lFwBUMh4iU8:embed:cite]

平成26年度秋期情報セキュリティスペシャリスト試験の事例を基に、Web攻撃の痕跡と対策を解説する「モモ＆サクラのセキュリティ深夜教室」です。2026年の最新技術の動向も交え、SQLインジェクションやDOM Based XSSなど、現代のシステムが直面する脅威とその防ぎ方を学びます。実務のセキュリティ対策スキル向上に役立つ内容です。 今回はWebセキュリティにおいて非常に重要な複数の概念について解説しています。まずサプライチェーン攻撃ですが、これは標的とする親会社に直接攻撃を仕掛けるのではなく、セキュリティ対策が比較的手薄な子会社や関連会社を最初の足場として狙い、そこを踏み台にして本命のシステムへと侵入していく手法です。次にSQLインジェクションは、データベースを不正に操作する攻撃で、これを見つけるためにはWebサーバーのアクセスログに残る応答サイズに注目することがポイントです。通常時よりも異常に応答サイズが大きい場合は、データベースの中身が大量に不正抽出されている可能性があります。また、攻撃を受けた画面だけを修正する対症療法ではなく、水平展開として全ての画面に同様の脆弱性がないかを確認することが重要です。現在ではAIによるログ分析や、アプリケーション自身が攻撃を防ぐRASPといった自律防御の技術も登場しています。続いて脆弱性診断を行う際の注意点として、IPSなどの防御システムが診断ツールの通信を攻撃とみなして遮断してしまう問題があります。これにより本来存在する脆弱性を見逃してしまう偽陰性が発生するため、診断は内部ネットワークから実施するか、診断ツールのIPアドレスをホワイトリストに登録して許可する必要があります。さらに開発の最終盤ではなく、CI/CDパイプラインの中で自動的に診断を行うDevSecOpsの考え方が主流となっています。DOM Based XSSは、ブラウザ側でデータが処理される際に悪意あるスクリプトが混入する攻撃です。サーバーに通信が発生せずブラウザ内だけで処理が完結してしまうため、サーバーのアクセスログには一切痕跡が残らないというステルス性の高さが脅威となります。クリックジャッキングは、ユーザーが懸賞などの正規のサイトを閲覧しているつもりが、実は目に見えない透明なiframeを重ねられており、気づかないうちに裏で不正な送金などのボタンをクリックさせられてしまう攻撃です。これに対する有効な防御策として、現代ではContent Security Policyのframe-ancestorsを用いて、フレームの表示を許可するサイトを厳密に制御することが標準となっています。最後にHSTSは、Webサイトへの接続を一度行えば次から常に安全なHTTPSで行うようブラウザに強制する仕組みですが、ユーザーが初めてそのサイトにアクセスする最初の1回だけは暗号化されないHTTPで通信してしまう可能性があり、その隙を中間者攻撃で狙われる弱点があります。これを完全に防ぐため、あらかじめブラウザの出荷時にHTTPS通信のみを使用するサイトのリストを登録しておくHSTS Preload Listによって、初回アクセスの無防備な状態を解消し安全性を確保しています。