■強制ブラウズ(forceful browsing)
ユーザー認証が施されたWebサイトなどにおいて、正規の認証を通らずに強制的にファイルやディレクトリにアクセスする行為のこと。例えば、ベーシック認証を採用する会員制のWebサイトなどにおいて、ユーザーIDを含むURLを細工したり、Cookieを改ざんしたりすることで、正規のユーザーになりすましてアクセスします。攻撃者は、強制ブラウズによるアクセス後、ページの改ざんや情報の窃取を試みることが多いようです。
TCP/IPレベルのフィルタリングを中心とする一般的なファイアウォールでは、この強制ブラウズによる不正アクセスを見破ることは困難です。しかし現在では、このような不正アクセスに対応したファイアウォール/認証製品も登場しています。Webサイトの認証設定を見直すことはもちろんのこと、インターネットに公開しているサーバでは、このようなファイアウォール製品の導入についても検討するとよいでしょう。
また昨今では、顧客情報などの情報漏洩が社会問題化しています。不正アクセスからの防御を強化すると同時に、顧客情報など万一の漏洩時に与える影響が大きな情報については、インターネット・ユーザーから簡単にアクセスできない場所に保管するなどの対策を検討する必要があるでしょう。
|