Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Capy、企業の「お問い合わせフォーム」を悪用するサイバー攻撃への対策ソリューションを発表

2018/06/27 12:00

 Capyは、「お問い合わせフォーム」経由で企業の機密情報を狙う攻撃を観測し、これらの攻撃から企業のセキュリティを守る「CapyパズルCAPTCHAお問い合わせフォームエディション」を発表した。

 Capyの攻撃分析チームによると、2018年1月ごろから、国内企業のWebサイト内の「お問い合わせフォーム」に対して、ボットにより大量投稿を行う攻撃が継続的に発生していることを観測しているという。

 また、今年4月に発表されたIPAのJ-CSIP(サイバー情報共有イニシアティブ)の報告書によると、国内の重要インフラ業者に対して、「お問い合わせフォーム」に対する大量投稿が同様に発生している。

 Capyでは、従来からの大量投稿攻撃は、いたずら目的やフォームの脆弱性を探索する単純なものであるとされていたが、これらの情報や分析した攻撃ログから、「お問い合わせフォーム」経由で、企業の問い合わせ担当者を不正なWebサイトに誘導しウイルス感染を試みることも考えられ、近年報道で話題になっている「標的型攻撃」の新しい傾向の1つであると考えられるとしている。

 以前は、企業の担当者がお問い合わせ内容を選定するなど、適切に処理することにより、大きな問題にはならなかったが、働き方改革などの時代の流れにより、選定手法の漏れや巧妙な問い合わせ内容によって誤ってアクセスしてしまい、被害が拡大する可能性があるという。

 そのため、Capyではこれらの攻撃の防止策として不正アクセスを遮断するツール「CapyパズルCAPTCHAお問い合わせフォームエディション」を開発した。これは従来のボット対策ツールである「CapyパズルCAPTCHA」をお問い合わせフォーム用に開発したものになる。

 「CapyパズルCAPTCHAお問い合わせフォームエディション」では、「お問い合わせフォーム」にパズル型CAPTCHAを使用することにより、ボットかどうかを見分けることができ、ボットからの大量投稿を防ぐことができる。利用方法は、「お問い合わせフォーム」へ専用JavaScriptコードを設置するだけだという。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5