NEWS【OFFICE110独立支援】法人営業のフランチャイズオーナーを全国で募集中!
NEWSOFFICE110フランチャイズオーナー募集

LDAPインジェクション攻撃とは?攻撃内容・被害事例・対策とおすすめツール紹介【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

LDAPインジェクション攻撃とは?攻撃内容・被害事例・対策とおすすめツール紹介

LDAPインジェクション攻撃とは?攻撃内容・被害事例・対策とおすすめツール紹介

「LDAPインジェクション攻撃」ってどういったサイバー攻撃ですか?SQLインジェクション攻撃やOSコマンドインジェクション攻撃は聞いたことあるのですが…。
「LDAPインジェクション攻撃」とは、簡単にいうとLDAP? ネットワーク機器やユーザーなどの情報を管理する、ディレクトリサービスへ接続するためのプロトコル。×で不正な条件式などの文字列を挿入し、脆弱性のあるサイトに不正ログインして情報を盗んだり、WEBサイトの改ざんをするサイバー攻撃です。

IDやパスワードの認証が突破され、他のユーザーの情報を盗む「LDAPインジェクション攻撃」。
LDAPインジェクション攻撃で不正アクセスを受けた企業は、IDを悪用されたり、個人情報が漏洩します。

顧客情報が流出すると、企業としての社会的信頼を失い、損害賠償請求の恐れもあるでしょう。

あなたの会社のLDAPのセキュリティは大丈夫でしょうか?
企業として顧客を守るためにも、LDAPインジェクション攻撃への対策が必要不可欠です。

本記事では、LDAPインジェクション攻撃の攻撃内容や手口、事例や対策法をご紹介します。

この記事の目次

  1. 1.LDAPインジェクション攻撃とは?
  2. 2.LDAPインジェクション攻撃の手口
  3. 3.LDAPインジェクション攻撃の事例紹介

  4. 4.LDAPインジェクション攻撃の対策法

  5. 5.まとめ

LDAPインジェクション攻撃とは?

LDAPインジェクション攻撃とは?

「LDAPインジェクション攻撃」とは、LDAP認証で不正な条件式などの文字列を挿入し、脆弱性のあるサイトに不正ログインをして情報を盗んだり、WEBサイトを改ざんしたりするサイバー攻撃です。

LDAPとは?

ネットワーク機器やユーザーなどの情報を管理する、ディレクトリサービス(ネットワーク上の資源とその所在や属性、設定などの情報を収集・記録・検索できるシステム)へ接続するためのプロトコル。

攻撃者はLADP認証を悪用し、不正な文字列をインジェクション(挿入)します。
LDAP認証でユーザーIDが正しければ認証を突破され、WEBサイトに不正に侵入されるという仕組みです。

不正アクセスを許すLDAPインジェクション攻撃は、顧客の情報漏洩につながるため何としても防がなくてはなりません。
攻撃者の手口を知り、事前に対策することが重要です。

LDAPインジェクション攻撃の手口

攻撃者は、LDAP認証で不正な文字列を追加。
入力フォームでIDやパスワードにメタ文字?コンピュータープログラムに与える文字列のことで「.」「[」「$」などの記号のようなもの。×を差し込むことでLDAP認証を不正に突破し、なりすましによってLDAPの情報を大量に盗みます

LDAPはテキストベースとなっているため、不正な文字列の挿入が比較的簡単です。

LDAPインジェクション攻撃は、顧客データを大量に持つECサイトで多発しています。
万が一攻撃を受けると、顧客のクレジットカード番号や情報の流出による企業や店舗のイメージ低下によって、想像以上に被害が拡大します。

個人情報の漏洩につながる、LDAPインジェクション攻撃の脅威。
攻撃から身を守るためにはどのような攻撃なのかを理解し、対策することが重要です。

セキュリティ調査から商品のご購入、お見積もり、設置工事まで何でもお問い合わせください

LDAPインジェクション攻撃の事例紹介

LDAPインジェクション攻撃の事例を見ても、ECサイトが狙われやすいことがわかります。
狙われたECサイトは、個人情報の流出などの被害に遭うのです。

ここからは、実際にあった被害事例3つをご紹介します。

事例①サウンドハウスで97,500件の個人情報が流出(2008年)

この事件はSQLインジェクション攻撃?Webアプリケーションの脆弱性を突き、データベースシステムを不正に操作する攻撃手法。×を受けたことが原因で、攻撃は中国のIPアドレスから発信されていました。

2008年、楽器や音響機器を販売するサウンドハウスは、同社のECサイトが不正アクセスを受け、顧客のクレジットカードが流出した可能性を発表。

流出した可能性があるのは、顧客97,500件分のデータで、氏名、フリガナ、性別、生年月日、メールアドレス、パスワードが含まれます。
さらに97,500件のうち27,743件は、クレジットカード情報も含まれていたのです。

結果として、同社はシステムの再設計・侵入経路を遮断する監視機器の設置・不正プログラムの除去などの対策をしました。

事例②ネットスーパーの顧客カード情報が1万件以上流出(2010年)

この事件では、ネットスーパーのWEBサイトに対して中国のIPアドレスから不正アクセスがあり、クレジットカード情報が盗まれました

2010年、ネオビートは、WEBサイトから運営を受託する大手スーパー7社と直営のネットスーパーから顧客のクレジットカード情報1万件以上が流出したと発表。

実際に被害に遭ったスーパーは、ユニー・イズミヤ・大近・マルエツ・琉球ジャスコ・不二商事・フジです。

事例③脆弱性がある日本のサイト400件が中国サイトに投稿(2016年)

中国で脆弱性情報を掲載するWEBサイト「WooYun」は、日本国内でSQLインジェクションの脆弱性を持つ400件の情報をWEBサイトに発表。

情報処理推進機構(IPA)はこの発表を踏まえ、WEBサイト運営者に脆弱性検査を至急実施するよう注意喚起しました。

掲載されたWEBサイトには、政府機関や上場企業をはじめ、地方自治体・団体・教育機関なども含まれます。

これらの事例からも、日本はセキュリティが脆弱な企業が多いことが分かります。被害に遭ってからでは遅いので、今からでも徹底的に対策してリスクを減らすことが大切です。

LDAPインジェクション攻撃の対策法

LDAPインジェクション攻撃から身を守るためには、不正なサイバー攻撃を含むリクエストを検査できるシステムを構築することが重要です。

LDAPインジェクション攻撃では、外部からの悪意のあるリクエストを受け入れる脆弱性があると、IDやパスワードを盗まれます。
その結果、個人情報の漏洩やWEBサイトの改ざんなどの被害につながるのです。

被害が起きてから対策するのではなく、起きる前に対策しましょう。

対策①プログラムで対策をする

LDAPインジェクション攻撃を受けるのは、LDAPの検索文字列にメタ文字?「.」「[」「$」などの記号のようなもの×が入っていることが原因。

そこで攻撃を避けるためには、LDAP認証で入力された文字列に含まれるメタ文字をエスケープ?入力文字列を無力化すること。×することが必要です。

エスケープすることが難しい場合は、「メタ文字は認めない」といったルールを設定することで、攻撃者が認証を突破するのを防ぎます。

対策②WAF(Web Application Firewall)の導入

WAFとは?

LDAPインジェクション攻撃から防衛する手段として、WAF(Web Application Firewall)?「Webアプリケーション層」の脆弱性を狙ったサイバー攻撃から守るセキュリティ対策。×の導入があります。
WAFがあれば、手間をかけずにLDAPインジェクション攻撃から攻撃を防御できます。

WAFはアプライアンス型・ソフトウェア型・クラウド型があり、インジェクション攻撃をはじめ、情報漏洩や改ざん、DDoS攻撃から様々なサイバー攻撃を防げるため有効です。
他方で、WAFは提供者の品質に左右されるデメリットがあるため、サービス提供者を選ぶ場合には注意が必要です。

サイバー攻撃を可視化・遮断!クラウド型WAF「攻撃遮断くん」はこちら

WAFとは?仕組みや導入メリットを初心者にも分かりやすく解説!

対策③オールインワンで安心!「Cyber Box Pro」の導入

CYBER BOX PRO

LDAPインジェクション攻撃をはじめ、多くのサイバー攻撃は「セキュリティの脆弱性(欠陥、弱点)」を突いた攻撃。
あらゆる攻撃から守るには、「セキュリティ対策ツール」を導入することが重要です。

特に、フィッシング詐欺にも使われるLDAPインジェクション攻撃では、自動的にネットワークの異常を検知・遮断するセキュリティ製品が有効。

そこでおすすめするのが、「OFFICE110」が提供する「Cyber Box Pro」です。
中小企業に必要なセキュリティ機能をパッケージ化した最高峰システムで、あらゆる機能をパッケージ化しながら月額9,800円~と安価に抑え、導入のしやすさも実現しています。

「CYBER BOX PRO」の基本機能紹介

  1. 1.タフで高機能、大容量のNAS
    大容量7.3TBのBOX型オリジナルデスクトップサーバ。
    SSD搭載で高速起動を実現、障害時の切り分けも簡単です。
  2. 2.リアルタイムバックアップで安心
    ファイルやメールのデータ変化をリアルタイムに検知・バックアップ。
    99世代までのデータを戻すことができます。
  3. 3.ファイル共有・アクセス権限の変更が可能
    ファイルごとにアクセス権限を変更し、閲覧・編集が可能。
    社内外からのデータのやり取りも安心かつ簡単です。
  4. 4.全ての機器のログ解析も
    リアルタイムで、様々なログを手間なく確実に記録。
    不正操作を防止し、原因の調査も簡単です。
  5. 5.セキュリティソフトでサイバー攻撃を防ぐ
    PCウイルスや不正侵入などから、PCやサーバを防御。
    未知の脅威に対しても効果を発揮します。
  6. 6.トラブル時にも安心の遠隔サポートも
    トラブル時には、サポートチームが遠隔でサポート。
    余計な手間もコストもかけず、簡単に問題を解決できます。

「ネットワークセキュリティ」は目に見えない分、ついつい危機感が薄れがち。
しかしネットワークのセキュリティ対策をしないということは、玄関に鍵をかけないのと同様で、「犯罪者の侵入を許している状態」といっても過言ではありません。

企業の存続のためには、総合的なセキュリティ対策が必要不可欠です。

OFFICE110では通常は10万円以上のセキュリティ診断を無料で実施しておりますので、「何から対策を始めたら良いか分からない」「自社にどんな対策が必要なのか分からない」という方もぜひお気軽にお問合せください。

中小企業に必要なセキュリティ機能がこれ1台に!『CYBER BOX PRO』

まとめ

今回はLDAPインジェクション攻撃について解説しましたが、いかがでしたか?

個人情報の漏洩は企業の信頼を失い、場合によっては契約破棄もありえるでしょう。
一度攻撃を受けると被害は甚大で、倒産のリスクもあります。

「ウイルスソフトやファイアウォール?インターネットを通して、外部から社内ネットワークに侵入する不正アクセスや、社内ネットワークから外部への許可されていない通信から守る“防火壁”のようなもの。×を入れているから安心」の時代ではなくなっています。

ウイルスソフトでは全てのウイルスから防御することは不可能です。
ファイアウォールも攻撃者はすり抜けられるため、不正アクセスを受ける可能性があります。

万全の対策をすることで、顧客は安心してWEBサイトを利用でき、それが企業の信頼にもつながります
サイバー攻撃について常に最新の情報を仕入れ、対応しましょう。

セキュリティ商品の導入でお困りなら、お気軽にOFFICE110へお問合せください。セキュリティ診断から商品のご案内、導入、アフターサービスまでトータルでサポートいたします!

セキュリティ調査から商品のご購入、お見積もり、設置工事まで何でもお問い合わせください

セキュリティ お役立ち情報

お役立ち情報カテゴリ

簡単入力30秒お問い合わせは0120-595-110

\導入をご検討・お見積り希望の方/すぐにご連絡ください!

0120-595-110

お見積り無料 携帯からもOK 即日対応 通話料無料 全国対応

お問い合わせはこちら

すぐにご連絡ください!