Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

4割のサイトに深刻な情報漏洩の可能性 - 5社に1社はSQLインジェクションの脆弱性

ウェブサイトの約4割に深刻な脆弱性が含まれていることが、NRIセキュアテクノロジーズの取りまとめにより判明した。軽度な脆弱性を含むサイトを合わせると、約7割に上るという。

同社が2007年度に、1部上場企業や関連子会社などを中心に48企業へセキュリティ診断サービスを提供し、169サイトについて診断を実施したところ判明したもの。

同社では2004年より同様の調査を実施しているが、脆弱性により個人情報や口座情報、注文履歴など重要情報へアクセスできたケースは41%で、昨年の42%からほぼ横ばいだった。軽度な脆弱性は、昨年の35%から微減となったものの30%にのぼり、合わせると71%を占めた。

これら結果を、今回初めて診断を受けたサイトに限定した場合、安全なサイトはわずか7%。93%に情報漏洩などのおそれがあり、深刻な情報漏洩が発生する脆弱性が含まれるサイトは51%と、半数に及ぶ。

目立った脆弱性としては、クロスサイトスクリプティングが64%のサイトに含まれる。また大規模な攻撃が頻発し、大きな被害を及ぼす可能性があるSQLインジェクションについては22%で見つかった。

080728ns3.jpg
脆弱性ごとの推移

SQLインジェクションの脆弱性が含まれるウェブサイトの16%は対策がまったく行われておらず、84%が対策を実施していたものの、対策漏れがあった。またクロスサイトスクリプティングについては、25%がまったく対策を施しておらず、75%は対策不足だった。

また、今回携帯電話向けサイトにおける脆弱性の特徴についても同社は取りまとめた。携帯電話向けサイトでは、クッキーが利用できないことからURLでセッション用のIDを管理するケースがあるが、規則的な文字列が利用されたことから推測が可能となるケースがPCの2.5倍に及んだ。

携帯電話サイトでは、キャリアに応じたウェブサイトを用意するため、コンテンツを変換する製品が用いられているケースがあるが、そうした製品そのものに脆弱性があり、ベンダーに対して不具合の修正を求めたケースもあったという。

携帯電話向けサイトについては、IPベースでアクセス制限が行われていることから、PCに比べて攻撃ツールが少なく、攻撃を受けにくい環境にあるが、スマートフォンの利用が増え、なりすましや端末の高度化により攻撃を受ける懸念が高まると同社では予測している。

調査結果の公表に合わせ、同社では記者向け説明会を実施し、同社コンサルティング事業部主任コンサルタントの岡博文氏が登壇した。同氏は今回の調査結果について、気軽に改修を実施したためにセキュリティホールができてしまったり、開発工期の短さからチェックが甘くなるケースなど問題を指摘している。

コンサルティング事業部主任コンサルタントの岡博文氏
岡博文氏

(Security NEXT - 2008/07/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

海外グループ会社の元従業員が個人情報を不正持出 - クラレ
個人情報や生産データが流出した可能性 - JVCケンウッド
日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町
小規模事業者持続化補助金の事務局がランサム被害
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
「auひかり」向けのブロードバンドルータに複数の脆弱性