Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

4割のサイトに深刻な情報漏洩の可能性 - 5社に1社はSQLインジェクションの脆弱性

ウェブサイトの約4割に深刻な脆弱性が含まれていることが、NRIセキュアテクノロジーズの取りまとめにより判明した。軽度な脆弱性を含むサイトを合わせると、約7割に上るという。

同社が2007年度に、1部上場企業や関連子会社などを中心に48企業へセキュリティ診断サービスを提供し、169サイトについて診断を実施したところ判明したもの。

同社では2004年より同様の調査を実施しているが、脆弱性により個人情報や口座情報、注文履歴など重要情報へアクセスできたケースは41%で、昨年の42%からほぼ横ばいだった。軽度な脆弱性は、昨年の35%から微減となったものの30%にのぼり、合わせると71%を占めた。

これら結果を、今回初めて診断を受けたサイトに限定した場合、安全なサイトはわずか7%。93%に情報漏洩などのおそれがあり、深刻な情報漏洩が発生する脆弱性が含まれるサイトは51%と、半数に及ぶ。

目立った脆弱性としては、クロスサイトスクリプティングが64%のサイトに含まれる。また大規模な攻撃が頻発し、大きな被害を及ぼす可能性があるSQLインジェクションについては22%で見つかった。

080728ns3.jpg
脆弱性ごとの推移

SQLインジェクションの脆弱性が含まれるウェブサイトの16%は対策がまったく行われておらず、84%が対策を実施していたものの、対策漏れがあった。またクロスサイトスクリプティングについては、25%がまったく対策を施しておらず、75%は対策不足だった。

また、今回携帯電話向けサイトにおける脆弱性の特徴についても同社は取りまとめた。携帯電話向けサイトでは、クッキーが利用できないことからURLでセッション用のIDを管理するケースがあるが、規則的な文字列が利用されたことから推測が可能となるケースがPCの2.5倍に及んだ。

携帯電話サイトでは、キャリアに応じたウェブサイトを用意するため、コンテンツを変換する製品が用いられているケースがあるが、そうした製品そのものに脆弱性があり、ベンダーに対して不具合の修正を求めたケースもあったという。

携帯電話向けサイトについては、IPベースでアクセス制限が行われていることから、PCに比べて攻撃ツールが少なく、攻撃を受けにくい環境にあるが、スマートフォンの利用が増え、なりすましや端末の高度化により攻撃を受ける懸念が高まると同社では予測している。

調査結果の公表に合わせ、同社では記者向け説明会を実施し、同社コンサルティング事業部主任コンサルタントの岡博文氏が登壇した。同氏は今回の調査結果について、気軽に改修を実施したためにセキュリティホールができてしまったり、開発工期の短さからチェックが甘くなるケースなど問題を指摘している。

コンサルティング事業部主任コンサルタントの岡博文氏
岡博文氏

(Security NEXT - 2008/07/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

サイバー攻撃でシステム障害、冷凍食品の出荷に影響 - ニチレイ
個人情報含むファイルを誤送信、別ファイルと勘違い - 大阪市
「GCP」に他テナントのリポジトリを乗っ取れる脆弱性 - 5月に修正
フィッシングURLが約4割減 - リンク使い回しも影響
ネットバンキングの不正送金件数が約1.8倍に - 被害額は半減
JPCERT/CC、オムロンPSIRTに感謝状 - 製品セキュリティ向上に貢献
iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「Django」にセキュリティ更新 - 複数の脆弱性に対応
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供
高校で採点済み答案をグループウェアに誤掲載 - 宮城県