Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブへの攻撃で成功事例の半数弱に実被害の可能性 - ラック調査

ウェブサイトに対する攻撃のうち、成功した攻撃の5割弱で実被害が発生している可能性があることがわかった。

ラックの研究機関であるデータベースセキュリティ研究所が、無料で提供しているログ解析ツール「SecureSite Checker Free」において、2008年7月から2009年6月までの1年間にセキュリティ上問題があるとの結果が出た1269件について調査分析したもの。

攻撃が検知された1269件のうち45%は誤検知であり問題なかったが、54%にあたる682件はサイバー攻撃を受けていた。さらにこのうち約46.5%にあたる317件では、実害を被った可能性があるという。

検知された1269件は、攻撃単位でみると4345件の攻撃が確認されており、攻撃の約87%はボットを活用したと見られる「SQLインジェクション攻撃」だった。続く「強制ブラウジング(6.6%)」「クロスサイトスクリプティング(5.5%)」から突出している。

「SQLインジェクション攻撃」の約6割は調査を目的とした攻撃だったが、3割については文字列フィールドの改ざんが行われていた。またエラー画面の表示を狙っており、データの詐取などが発生したおそれがある。

同社では、ウェブアプリケーション向けのファイアウォール(WAF)を活用攻撃の防御や定期的な調査など実施など注意を喚起した。また、SQLインジェクション攻撃は、2008年12月から減少傾向にあり、FTPアカウントを詐取されるケースが増加しているとして、アカウント管理についても対策を呼びかけている。

(Security NEXT - 2009/10/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2017年2Qの脆弱性届け出は269件 - ソフトウェア関連が2.6倍に
2017年1Qの脆弱性届け出はソフトウェアが88件 - 情報家電やルータなど目立つ
4社に1社がインシデント被害を経験 - 半数超が脆弱性突かれた被害
2016年4Qのソフトウェア脆弱性は138件 - 家電とルータで30件超
2016年2Qの脆弱性届出は753件 - ソフト製品関連が前Q比約7倍に
2015年4Q、組織内部からの不審通信が増加 - 汚染iOSアプリに起因
2016年1Qの脆弱性届出は185件 - ソフト関連が減少
2015年4Qの脆弱性届出は221件、ソフトウェア関連が増加
2015年2Qの脆弱性届出は163件 - ウェブサイト関連が半減
2015年1Qの脆弱性届出は245件 - ウェブサイト関連が半数以下に