Webフォーム作成の記事
ARTICLEフォームのセキュリティについて考えよう。主なリスクや対策とは
アンケートやキャンペーン応募など、フォームには個人情報が記入されるため、セキュリティについて気になっている方もいるのではないでしょうか?この記事ではフォームを使う際のリスクや、セキュリティ対策について解説します。
目次
フォームとはどんなもの?
フォームという言葉は、インターネット上でよく耳にする言葉でしょう。「こちらのフォームから入力してください」などの定型文は、もはや日常で用いられる言葉と言って差しつかえありません。
しかし、なんとなく意味を捉えていても、実際にどんな意味を持つ言葉なのか具体的に説明できる人は少ないのではないでしょうか。
そこで、まずはフォームとはどんなものなのか、その意味や種類について解説します。
フォームの意味
フォームは『外見』や『形式』といった意味の英語ですが、IT用語としては主に、特定形式を持った『書式』や、『入力欄』の意味として用いられます。
現在、ネットを使う場合の一般的なフォームと言えば、ユーザーが記入するための入力欄を指す言葉です。また、ネットに書き込む際のコメント欄もフォームという言い方をするでしょう。
ただし、企業が業務上で用いる場合には、データベースからデータを抽出するために用いる書式をフォームと呼ぶ場合があります。
フォームの種類
フォームの種類は、用途によって分けられます。大別すると記入欄として用いる場合と、エクセルなどのデータベースからデータを見やすくするためのカード、という2パターンです。
記入欄として利用されるフォームは、用途によって多くの種類があります。アンケートや掲示板の入力だけでなく、資料請求やサービスを利用するための情報登録にもフォームは利用されています。
データフォームは、保管されているデータの編集や抽出の際に利用されます。エクセルやアクセスといったソフトウェアが使われているようです。オンラインショップで利用するカートも、フォームを用いて形成されています。
最適化が重要
企業がユーザーにフォームを利用してもらう場合、いかに最適化するかが重要になります。
見た目がゴチャゴチャしていて見づらい場合や、回答箇所がすべて記述式でアンケートに時間がかかりそうな場合などは、フォームの入力が敬遠されてしまうでしょう。
フォームを利用してもらうためには、入力項目を最低限にする、選択形式をなるべく多く設けるといった、ユーザー視点で手間がかからないようにするのが重要です。
ただ入力項目を減らすだけでなく、クレジットカードの入力の際はセキュリティコードの項目は残すなど、セキュリティ面にも配慮しましょう。
また、全角英数字は自動で半角に変換される、といったような細かな気配りも最適化のポイントです。
フォームのセキュリティについては、「フォーム作成ツールの使い方とは。セキュリティもしっかりと」をご一読ください。
フォームのセキュリティリスクを考えよう
対ユーザー用のフォームは、オンライン上に個人情報を記載することになるので、セキュリティ対策を行う必要があります。
フォームへの記入がきっかけで、スパムメールが届くようになったといった案件は少なくありません。セキュリティについて今一度考えてみましょう。
主に挙げられるリスクとは
近年、入力フォームはさまざまなWebサイトで利用されていますが、実際にどのようなリスクを有しているでしょうか。代表的なセキュリティリスクを3つご紹介していきます。
不正アクセスによる情報漏えい
フォームから入力されたユーザーの個人情報は、サイト運営者が管理するデータベースに保存されています。このとき、フォームのセキュリティ対策が十分でないと、データベースへの不正アクセスにより個人情報漏えいのリスクがあります。フォームの入力項目にクレジットカード情報などが含まれる場合には、情報漏洩によってカードの不正利用につながりユーザーに金銭的な損失を与えてしまう恐れがあるため、高度なセキュリティ対策が求められます。
マルウェア感染
悪意を持った第三者が、フォーム内に不正なプログラムを仕掛け、Webサイトを訪問したユーザーのPCをマルウェア感染させるリスクがあります。また、マルウェアに感染した場合、PCが起動しなくなる・パフォーマンスが急激に落ちる・攻撃者による情報の不正取得などにつながり企業の信頼にも大きくかかわるため、十分な対策が必要です。
データの改ざん・消失
攻撃者にフォームの脆弱性を突かれて、Webサイトへの不正侵入を許した場合、あるいはマルウェア感染した場合には、Webサイトのデータの改ざんやデータ消失のリスクがあります。改ざんによって、ユーザーが悪質なサイトに誘導され、個人情報を不正に取得されてしまう恐れがあるため注意が必要です。万が一のデータ消失に備え、日頃からデータのバックアップ体制を構築するのも重要と言えるでしょう。
第三者へのスパム送信
フォーム乗っ取りによるスパム送信は、あなたのWebサイトが知らぬ間に犯罪に加担させられてしまう攻撃手法です。攻撃者はお問い合わせフォームの自動返信機能を悪用し、第三者のメールアドレスに大量のスパムメールを送信します。
本来、フォームには自身のメールアドレスを入力するかと思いますが
悪意のある攻撃者はメールアドレス欄にスパムを送りたい相手のアドレスを入力し、問い合わせ内容にフィッシングサイトや広告のリンクを埋め込みます。結果、あなたのサーバーから自動的に悪意のあるメールが配信され、受信者には企業からの正規メールに見えてしまうのです。
この種の攻撃は、単にスパムメールが送信されるだけに留まらず、さらに深刻な問題を引き起こす可能性があります。企業は、知らぬ間にフィッシングサイトへの誘導や偽ブランド品の広告配信といった犯罪行為に加担させられることになります。これにより、企業のブランドイメージが著しく損なわれ、顧客からの信頼失墜につながる可能性があり、最悪の場合、法的な責任を問われるリスクも発生します。このような事態を避けるためには、Webサイトのフォームに対するセキュリティ対策を徹底し、不正な利用を未然に防ぐことが不可欠です。
攻撃に用いられる主な手法
Webサイトを利用する際に、悪意ある第三者によって次のような手段で情報漏洩などが発生する可能性があります。
- XSS(脆弱性(セキュリティホールとも呼ばれる)のあるWebサイトを経由し、攻撃者の作成したJavaScriptが、ユーザーのブラウザ上で勝手に実行される)
- CSRF(Webサイトに自動で他のサイトに飛ばすプログラムを仕込み、ユーザーに意図しない操作をさせる)
- SQLインジェクション(データベースへのアクションを行う際に、プログラムにSQL文の断片を与え、データベースの改ざんや不正に情報を入手する)
- クリックジャッキング(Webブラウザ上で操作を乗っ取って不正を行う)
特にXSSはPHPでプログラミングする際には、真っ先に対応が必要となるリスクです。このような悪意ある第三者の攻撃から利用者を守るためにも、セキュリティ対策は企業にとって必須と言えます。
SSLについて
SSL(Secure Sockets Layer)とは、Webページをすべて暗号化し、外部からわからないようにするセキュリティ手段です。Webサイトからサーバーへ何らかの情報を送る際に、cookieを含めた情報を暗号化することで、情報流出を防いでくれます。
同様の役割を持つTLS(Transport Layer Security)などもあり、こういったセキュリティが施されたサイトかどうかは、ユーザーにとっても利用するかどうかの指針になるケースが多いようです。
SSLやTLSが採用されている場合は、アドレスバーに鍵のマークが表示されます。
お問い合せフォームのセキュリティに関する詳細は、「お問い合わせフォームに潜むセキュリティリスクと「SSL化」とは?」をご一読ください。
主なサービスのセキュリティ
無料でフォームが作成できるサービスとして、GoogleとWordPressが挙げられます。この2つの事業者がどのようなセキュリティ対策をしているか、それぞれ見ていきましょう。
Googleのセキュリティはかなり高いと評判です。データの暗号化については、あらゆるサービスに暗号化が施されています。さらにこの暗号は、HTTPS(Hypertext Transfer Protocol Secure)やTLSなど、複数の方法で何重にも保護されているのです。
また、ウイルスに感染する理由の多くは、ユーザー側が不審サイトにアクセスするケースです。保護されていないサイトにアクセスする際に、Googleでは警告が表示されます。
Googleフォームのセキュリティについては、「Googleフォームのセキュリティは万全?サポートや自己対策法」をご一読ください。
WordPress
WordPressのセキュリティには、プラグインが用いられます。特に有名なプラグインに関しては、頻繁にアップデートが行われますので、常に最新版にしておくよう心がけましょう。
ウイルスなどの攻撃手段は、日々新しいものが生み出されていますので、セキュリティもアップデートを頻繁にしなければ危険です。
WordPressでも、セキュリティのプラグインを常に最新のものにすることで、一定のセキュリティ基準は保証されます。しかし、代表的なプラグインである『Contact Form 7』がSSLに対応していないなど、脆弱さを指摘する声もあがっているようです。
セキュリティの警告が表示される場合
インターネットで色々なホームページを閲覧していると、「保護されていないページです!」というメッセージが突然出てきたことはありませんか?
このようなメッセージが出てくる理由と対策について解説します。
保護された通信とされていない通信
「保護されていません!」と表示される場合、そのサイトから発信される情報が第三者に読み取られてしまう危険性があることを示唆しています。
では、保護された通信と保護されていない通信をどのようにPCは判断しているのでしょうか?
最も大きな違いは、URLの頭が『https://』と『http://』のどちらで始まっているかです。この『s』は、セキュリティの頭文字で、暗号化されていることを示しています。
SSLサーバー証明書の設定
「保護されていません!」という表示を外すためには『SSLサーバー証明書』を設定する必要があります。これは、やりとりされる情報を暗号化すると共に、サイトの運営者を利用者が確認する機能でもあるのです。
httpsの前に付属された鍵を右クリックしてみてください。そこから、証明書発行者の情報を閲覧できます。この証明を発行してもらうには審査が必要です。
審査の内容によって費用や難易度、期間が変わってきます。銀行に発行されるような証明機関の審査はかなり厳しいと言えるでしょう。取得には、できれば専門の業者に依頼することをおすすめします。
SSLの設定については、「フォームで「保護されていません」と表示される!SSLや主な対策について」をご一読ください。
主なセキュリティ対策とは
Webセキュリティの対策には、プログラム周りの脆弱性対策と、サーバー周りの脆弱性対策の2種類があります。
プログラムのセキュリティについては複雑なため、初心者が施すのは難しいです。しかし、レンタルサーバーが提供しているシステムであれば、セキュリティを一定以上向上させられるでしょう。
そのシステムについては、次の3種類のようなものがあります。
ファイアウォール
ファイアウォールという言葉自体は、聞き覚えがある人もいるでしょう。
インターネットのデータ受信は、『ポート』と『プロトコル』という2つのルールが適用されています。ファイアウォールは、不要なポートとプロトコルを遮断し、不正アクセスが可能なポートを探す行為を遮断するという仕組みです。
不正アクセスに対しては、管理者に通報できるようにもなっています。付加機能があるものも多いため、さまざまな状況に対して強いセキュリティです。
WAF
ファイアウォールには、XSSなどの防げない攻撃も存在します。そこで、大手のサーバーなどではWAF(Web Application Firewall)を標準実装しているケースが一般的です。
WAFは、ユーザーとサーバーのやりとりしているデータをリアルタイムに監視し、悪意あるデータかどうかを判断します。悪意ありと判断した際には、データのやりとりを強制停止する仕組みです。
IPS
IPS( Intrusion Prevention System)は、不正な通信を感知し、アクセスをキャンセルしたり、アクセス元のIPアドレスを遮断したりするセキュリティです。
サーバーへの攻撃には、データをのぞき見するだけではありません。1秒間に何千回といったアクセスをすることによって、サーバーをパンクさせるようなタイプのものもあります。
こういった攻撃を未然に防げるため、ファイアウォールと併用して使うのが主流です。
セキュリティ対策を実施する際の3つの注意点
ここからは、セキュリティ対策を実施する際の注意点について解説します。高度なセキュリティ対策は、Webサイトおよびユーザー双方にとって重要ですが、ユーザーの利便性を損なってしまう恐れがあるため注意しましょう。
注意点1:セキュリティとユーザーの利便性の両立
たとえば、認証方式を多段階にするなどセキュリティ対策を強化すれば、不正アクセスや情報漏えいなどのリスクを抑制することが可能ですが、一方で複雑なログイン手続きによりユーザーの利便性が損なわれます。セキュリティとユーザーの利便性は、いずれかを重視するものではなく、両立させるのが重要であることを意識して、セキュリティ対策を実施しましょう。
注意点2:一つの防御策だけを過信しない
セキュリティ対策で最も重要な考え方は、一つの防御策だけに頼らないことです。サイバー攻撃は日々巧妙になっており、どんなに優秀なものでも、一つの対策では完璧ではありません。そのため、複数の異なるセキュリティ対策を重ね合わせる「多層防御」という手法が効果的です。
具体的には、
- 外部からの侵入を防ぐファイアウォール
- 本人確認を強化する多要素認証
- ウイルスを検知するセキュリティソフト
などを組み合わせます。これらの対策を同時に導入すると、一つの防御が突破されても他の防御が機能し、全体のセキュリティレベルを大幅に向上させられるでしょう。
注意点3:継続的な更新とメンテナンスが必要
セキュリティ対策は一度導入すれば終わりではなく、継続的な管理が重要です。ソフトウェアやシステムには「脆弱性」と呼ばれるセキュリティ上の弱点が存在し、時間の経過とともに新たに発見される場合があります。攻撃者はこうした弱点を狙ってサイバー攻撃を仕掛けてくるため、放置しておくと深刻な被害を受ける可能性が高まるのです。
対策として、OSやアプリケーションの更新通知が表示されたら、速やかにアップデートを実行しましょう。またサポート期間が終了した古いソフトウェアは、新しい脆弱性が発見されても修正されないため、使用を中止して最新版に買い替えるとよいでしょう。
さらに定期的なセキュリティ点検を実施し、現在の対策状況を見直すことで、常に最適なセキュリティレベルを維持できます。
フォームを利用するときにおすすめのセキュリティ対策
フォームを利用するのにおすすめのセキュリティ対策を2つご紹介します。
IPアドレス制限
IPアドレス制限は、WebサイトにアクセスできるIPアドレスを限定し、サービスを利用できるユーザーを制限する仕組みです。海外から短時間で大量のアクセスが確認された場合、不正なアクセスとみなして、外国からのすべてのアクセスをブロックできます。
画像認証の活用
入力フォームを悪用した大量のスパム行為に対しては、画像認証を活用するのも有効です。Google社の「reCAPTCHA」などが有名ですが、正規のユーザーのみにアクセスを認める方法として活用できます。
フォームSSL不要論についても知っておく
これは、WordPressで利用するフォームを作るプログラマーが「フォームSSL不要論」を信じているからだと言われています。
そのため、WordPressで共用SSLを導入しようとすると、プラグインが動作せず、かえってセキュリティが脆弱になってしまう可能性があることは覚えておきましょう。
クラウドサービスのセキュリティについては、「高レベルのセキュリティ対策を導入!クラウドで情報資産を守る」をご一読ください。
フォームのセキュリティ対策をしなかった場合の被害事例3選
ここからは、フォームのセキュリティ対策をしなかった場合の被害事例を3つ紹介していきます。順番に見ていきましょう。
事例1:フォーム設定ミスによる個人情報の大量漏えい
オンラインフォームの設定を間違えると、収集した個人情報が第三者に筒抜けになってしまう深刻な事態が発生します。実際にある自治体では、市制施行記念式典の申込フォームで設定ミスが発生し、申込者の氏名・住所・電話番号が他の申込者から閲覧可能な状態になりました。
また教育委員会では、退職予定者向けアンケートの設定を誤り、第三者に回答者名が見える状態を招いてしまったのです。フォームには「前回の回答の表示」や「回答概要の表示」といった機能があり、初期設定では無効になっていますが、誤って有効化してしまうケースが後を絶ちません。
他にも設定ミスによる情報漏洩は頻発しており、企業規模や知名度に関係なく誰にでも起こりうる問題です。個人情報が流出した場合、企業は被害者への個別謝罪や再発防止策の実施など、多大な労力と費用を費やさなければなりません。
事例2:フォームジャッキング攻撃による決済情報の漏えい
フォームジャッキングとは、Webサイトの入力フォームに悪意のあるプログラムを仕掛けて、クレジットカード情報などを盗み取る「Web版スキミング」です。海外では大手オンラインショップや航空会社が被害に遭い、数十万人分のカード情報が盗まれる事件が発生しました。
盗まれたクレジットカード情報は闇市場で高値で取引され、不正利用による金銭被害が拡大していきます。利用者はWebサイトで普通に買い物をしているつもりでも、知らないうちに個人情報を盗まれてしまうため、被害に気づくまでに時間がかかってしまいます。
事例3:SQLインジェクション攻撃による個人情報の漏えい
SQLインジェクションとは、フォームの入力欄にデータベースを操作する特殊なSQL文を意図的に送り込み、本来アクセスできない情報を不正に取得する攻撃手法です。
たとえば、ログインページのユーザーIDやパスワード入力欄に、攻撃用のSQL構文を含む特殊な文字列を入力することで、データベースの制御を乗っ取ることが可能になります。
その結果、サーバー側の処理が攻撃者の意図したSQLとして実行され、会員の住所・氏名・電話番号・購入履歴などの個人情報が不正に取得される恐れがあります。
場合によっては、適切な対策がされていないとクレジットカード情報などの機密情報が漏洩するリスクもあります。
ある大手オンラインサイトでは、SQLインジェクション攻撃により大量の顧客個人情報が流出する被害が発生しました。
フォームに入力された情報はサーバーで受け取られてデータベースに登録される仕組みを悪用されるため、メールフォームを設置しているすべてのWebサイトが標的になる可能性があります。
まとめ
フォーム利用に際して、セキュリティの存在は欠かせません。ユーザー側でも、SSL証明書によってかんたんにセキュリティ体制をチェックできます。そのため、セキュリティ対策を怠っている企業は、それだけユーザーが敬遠してしまうリスクがあるのです。
セキュリティは、それぞれの事業者が施しており、特にGoogleのセキュリティは高いと言えます。WordPressのセキュリティを高めるには注意点があり、できれば専門の事業者にあらかじめ相談した方が良いでしょう。
セキュリティ対策をしっかり施し、安心して使えるフォームをユーザーに提供すれば、企業の信頼を高めることにもつながるはずです。
また、かんたんにフォーム作成をしていきたい方には、弊社のマルチデバイス対応のフォームがかんたん操作で作成できる Webフォーム作成サービス「SPIRAL®」もおすすめです。問い合わせ・資料請求は無料ですので、まずはお気軽にお問い合わせください。
このコラムの執筆者
