ネットワークセキュリティ会社のラックは24日、「ホームページからの情報漏洩に対する脅威の現状」と題したレポートを発表した。ほとんどのWebサイトになんらかの脆弱性が見つかっており、ショッピングや資料請求など個人情報を入力するサイトの約7割で他人になりすますことが可能な欠陥、約4割で個人情報を格納したデータベースに侵入可能な欠陥があることがわかったという。
レポートは2004年1月から12月までに国内の大手企業122社に対して行なったWebアプリケーション検査や約200社を対象としたセキュリティ監視の結果、同社が実際に手がけた数十件の情報漏洩事件の調査結果をもとに分析したもの。
これによると、Webアプリケーションの調査の結果、ほとんどすべてのサイトになんらかの脆弱性が見つかり、特に「クロスサイトスクリプティング(XSS)」が67%、「セッション管理不備」が61%に上ったほか、「インジェクション系」も37%あり、これら個人情報漏洩につながる可能性のある重大な脆弱性が高い割合で見つかった。このほか、「SSL、通信不備」「エラーハンドリング不備」もそれぞれ50%以上に上っている。
ラックではこの結果について「セキュリティ対策をすでに実施している、あるいは関心を持っている企業の調査結果として捉えると、その他一般のWebサイトにおいては、重大な問題点が放置されたまま運用されているケースが多く存在するものと推測される」と指摘している。
サイトの種類別に見ると、ショッピングや金融、有償会員など「本来セキュリティ対策を十分に実施していなければならないWebサイトにおいても、重大な問題点が数多く見つかっている」という。特に金融系システムでは全体平均よりも多く見つかっており、「XSS」「セッション管理不備」の検出割合がそれぞれ約8割、「インジェクション系」「SSL、通信不備」「エラーハンドリング不備」がそれぞれ約6割に達した。
攻撃についての監視統計からは、Webアプリケーションへの攻撃が確実に増加傾向にあることがわかった。2004年12月までの1年間でXSS攻撃が約1.3倍、SQLインジェクション攻撃が約4倍に増加した。「Webアプリケーション攻撃用ツールが出回っていることやサーバー機器に対して脆弱性が少なくなっていることから、Webアプリケーションが攻撃の標的となる割合が増加している状況を表わしている」としている。
なお、ラックでは、企業向けに「ホームページ情報漏えい診断サービス」を提供しているが、不正アクセス被害が相次いでいることを踏まえ、1日間または3日間の診断サービスをパックにした新メニューを5月24日から追加した。
関連情報
■URL
ホームページからの情報漏洩に対する脅威の現状(PDF)
http://www.lac.co.jp/news/pdf/20050524.pdf
「ホームページ情報漏えい診断サービス」のニュースリリース(PDF)
http://www.lac.co.jp/news/pdf/20050524_2.pdf
■関連記事
・ CGIを利用したWebアプリでは、2,000個の脆弱性が発見される場合もある(2004/05/25)
・ Webアプリケーションの脆弱性は修復してもなお93%に脆弱性が残る(2004/06/30)
・ ラック、Webからの個人情報漏洩を専門家が検査する低価格サービスを開始(2004/03/11)
( 永沢 茂 )
2005/05/25 21:13
- ページの先頭へ-
|