( 1 ) タンパリングとは
タンパリング(Tampering)とは「改ざん」を意味する言葉です。情報セキュリティ分野では、不正アクセスなどによってデータの改ざんや情報の窃取を行う、システムを損壊・停止させるといった行為を指します。
タンパリングには高いスキルや特殊なツールが必要なく、ブラウザから行うことが可能です。パラメータ(プログラムやシステムの動作を制御するための値や変数)を不正に改ざんし、企業に損害を与えたり、悪意のある第三者が利益を得るために用いられる手法です。
( 2 ) タンパリングが発生する原因
タンパリングが発生する原因として、主に以下のようなものが挙げられます。
開発時にパラメータの検証が不十分
URL末尾に付け加えられるパラメータ(文字列)に、ユーザーIDなどの重要な情報が含まれていると、第三者に改ざんされるリスクがあります。また、Webサーバ内のファイル名をパラメータに直接指定するような仕様の場合、改ざんされて非公開のファイルが外部から閲覧される恐れがあります。
キャッシュやログにパラメータが残存
ブラウザのキャッシュに認証情報が残っていると、「戻る」ボタンや履歴から特定のページにアクセスすることで、認証に必要なプロセスが省略されることがあります。ブラウザ以外にも、プロキシサーバ、ファイアウォール、Webサーバなどにキャッシュが残っている可能性があり、そこから改ざんや情報漏洩を引き起こすリスクがあります。
Cookie(クッキー)の改ざん
Cookieが改ざんされると、アカウントに不正アクセスされるリスクがあります。例えば、個人識別に関わるCookieを改ざんしてユーザー本人になりすまし、本来許可されていないコンテンツへのアクセスや不正操作が可能になります。
Webフォームの悪用
Webサイトに設置されている入力フォームの脆弱性を狙い、悪用されるケースもあります。Webフォームに入力された氏名や住所、クレジットカード情報などの個人情報が、不正アクセスによって窃取されるリスクがあります。また、他人のユーザーIDを入力し、本人になりすましてログインされるという危険性もあります。
( 3 ) タンパリングの種類
タンパリングにはいくつかの種類があり、大きく4つに分類できます。
| 種類 | 攻撃手法 | 被害例 |
|---|---|---|
|
ソフトウェア タンパリング |
プログラムのソースコードや設定ファイルを改ざん |
・ライセンス認証が改ざんされ、無許可でソフトウェアが使用される
|
|
ハードウェア タンパリング |
デジタル機器やデバイスなどのハードウェア内部を物理的に改ざん |
・POSシステムなどの決済端末が改ざんされ、顧客のクレジットカード情報が窃取される
|
|
データ タンパリング |
ネットワーク上で送受信されるデータや保存ファイルの内容を改ざん |
・ネットバンキングなど金融取引の送金情報が改ざんされ、不正送金される
|
|
パケット タンパリング |
ネットワーク上のデータパケット送信時に内容を改ざん |
・通信内容が改ざんされ、送信者に誤った情報を送信させる
|
( 4 ) タンパリングを防ぐ対策
タンパリングを防ぐための具体的な対策を解説します。これらの対策を組み合わせることによって、より安全なシステム運用が可能になります。
パラメータの検証
パラメータから不正な文字列を排除することで、不正アクセスや改ざんのリスクを軽減できます。パラメータの長さや記号の制限、特定の文字列を禁止することも有効です。また、Webサーバ内のファイル名をパラメータで直接指定する必要性を検証し、仕様・設計の見直しを行いましょう。
データの暗号化
通信データや保存データが暗号化されていない場合、ネットワークを介して送受信されるデータが改ざんされるリスクがあります。SSL/TLSによってデータを暗号化することで、万が一情報が流出しても、第三者の解読を不能にする効果があります。
セキュリティシステムの導入
ファイルやデータの変更をリアルタイムで検知し、管理者に通知する「改ざん検知システム」の導入が有効です。さらに、ファイアウォール、アクセス制御、侵入検知システムなど、複数の対策を組み合わせる多層防御によって、より強固な防御体制を構築できます。
物理的セキュリティの強化
パソコンやタブレットなど、情報を管理する端末を物理的に保護することも重要です。監視カメラや入退室管理システムの導入、ワイヤーロックによる端末の施錠など、社内のセキュリティ対策を強化しましょう。
