NRIセキュアテクノロジーズは28日、企業が運営するサイトを対象に実施したセキュリティ診断サービスの分析結果を発表した。個人情報や口座情報、注文履歴を含む重要情報に不正アクセスできたサイトが41%を占め、多くのサイトが危険な状態のまま運営されている実態が明らかになった。
セキュリティ診断サービスは、外部の第三者がセキュリティ上の問題点を探すというもの。2007年4月から2008年3月までに、48社が運営する169サイトを対象に実施した。業種は金融が51%、情報通信が26%、サービスが11%など。東証一部上場企業および子会社の割合が75%を占めている。
診断担当者の技術レベルは、過去に同サービスで2年、100システム以上を担当したほか、セキュリティ機関である米SANS Instituteが主催する専門的なトレーニングコースを終了しているという。
|
|
41%のサイトで重要情報に不正アクセスできたという
|
診断対象のサイト
|
● 不正アクセスの要因は「なりすまし」「権限昇格」「SQLインジェクション」
|
不正アクセスによる情報漏えいにつながる3つの要因
|
|
NRIセキュアテクノロジーズコンサルタント事業部主任コンサルタントの岡博文氏
|
重要情報に不正アクセスできた要因では、1)関連チェック不足による「なりすまし」が20%、2)「権限昇格」による管理者機能へのアクセスが12%、3)「SQLインジェクション」によるデータベースの不正操作が22%。これらの危険性は、サイト向けに独自開発したプログラムに存在し、アクセス制限をかけているはずの重要情報に不正アクセスできるものが多かったという。
「サイトの開発プロセスの『対策漏れ」によるもので、開発者の理解不足が原因と見られる。また、サイト公開後に追加で実装した小規模の画面にのみ問題が見つかるケースもあり、長期間にわたるアプリケーションの開発・保守フェイズで、いかにして対策漏れを防ぐかが、これらの問題に取り組むための重要なテーマと言える。」(NRIセキュアテクノロジーズコンサルタント事業部主任コンサルタントの岡博文氏)。
1)の「なりすまし」は、ログインに成功したユーザーが、何らかの方法により別のユーザーの重要情報にアクセスできるというもの。例えば、ショッピングサイトで購買履歴の詳細情報に遷移する際、内部的に利用されている自らの「購買ID」を取得して改ざんすることで、別のユーザーの購買履歴を閲覧できるケースが見受けられたという。
2)の「権限昇格」は、管理機能のURLを直接入力することで、管理者機能などの特権操作を行えるというもの。管理者機能には、登録されているユーザーの個人情報を一覧表示する機能が含まれていることが多く、大きな被害につながる危険性があるとしている。
3)の「SQLインジェクション」は、Webアプリケーションに想定しないSQL文を実行させることで、データベースの情報を不正取得したり、サーバー上で任意のコマンドを実行できるというもの。NRIセキュアでは、「全く対策されていないケースは少なく、特定の一部の画面にのみ対策漏れによる問題が検出されるケースが多い」としている。
また、ブラウザ上で不正なスクリプトを実行することで、偽のページを表示したり、Cookieを不正に取得する「クロスサイトスクリプティング」の危険性が、60%のサイトで見つかった。ただし、これを悪用するには、利用者に不正なURLへアクセスさせるなどの前提条件が必要になるため、今回の調査では「重要情報に不正アクセスできた」ケースとしては集計していない。
|
|
なりすましの具体例
|
権限昇格の具体例
|
● 携帯向けサイトでPC向け攻撃ツールが使われる可能性も
|
推測可能なセッションIDの具体例
|
このほか携帯向けサイトは、PC向けサイトのように1つの画面に複数の機能を組み込んでいないため、問題の発見割合が低かったという。
その一方で、ログイン後にサイトから発行されるセッションIDをもとに、他の利用者のセッションIDを推測する「推測可能なセッションID」の問題については25%のサイトで見つかっており、PC向けの10%を大幅に上回っていた。
携帯向けサイトについて岡氏は、「携帯電話からしかアクセスさせないようにしているため、PC上で使用可能な攻撃ツールが利用できない」として、現状では攻撃されるケースが少ないと説明したが、今後は携帯電話が高機能化することで、PC上で使われていた攻撃ツールが用いられる恐れがあるとした。
また、PCと携帯を含むセキュリティ対策としては、「まずはサイトの問題点とリスクを認識すること」が重要と指摘。今回初めてセキュリティ診断サービスを受けた企業の54%が重要情報への不正アクセスを許しており、以前も同サービスを受けた企業の35%と比べると明確な差が出ていたとして、サイトのセキュリティ診断が効率的な対策の第一歩であると訴えた。
関連情報
■URL
ニュースリリース
http://www.nri-secure.co.jp/news/2008/0728.html
■関連記事
・ 重要情報に不正にアクセスできるWebサイトが42%、NRIセキュア調べ(2007/06/19)
( 増田 覚 )
2008/07/28 15:41
- ページの先頭へ-
|