Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブへの攻撃で成功事例の半数弱に実被害の可能性 - ラック調査

ウェブサイトに対する攻撃のうち、成功した攻撃の5割弱で実被害が発生している可能性があることがわかった。

ラックの研究機関であるデータベースセキュリティ研究所が、無料で提供しているログ解析ツール「SecureSite Checker Free」において、2008年7月から2009年6月までの1年間にセキュリティ上問題があるとの結果が出た1269件について調査分析したもの。

攻撃が検知された1269件のうち45%は誤検知であり問題なかったが、54%にあたる682件はサイバー攻撃を受けていた。さらにこのうち約46.5%にあたる317件では、実害を被った可能性があるという。

検知された1269件は、攻撃単位でみると4345件の攻撃が確認されており、攻撃の約87%はボットを活用したと見られる「SQLインジェクション攻撃」だった。続く「強制ブラウジング(6.6%)」「クロスサイトスクリプティング(5.5%)」から突出している。

「SQLインジェクション攻撃」の約6割は調査を目的とした攻撃だったが、3割については文字列フィールドの改ざんが行われていた。またエラー画面の表示を狙っており、データの詐取などが発生したおそれがある。

同社では、ウェブアプリケーション向けのファイアウォール(WAF)を活用攻撃の防御や定期的な調査など実施など注意を喚起した。また、SQLインジェクション攻撃は、2008年12月から減少傾向にあり、FTPアカウントを詐取されるケースが増加しているとして、アカウント管理についても対策を呼びかけている。

(Security NEXT - 2009/10/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2021年1Q、脆弱性届出は252件 - サイト関連が大きく減少
2020年4Qの脆弱性届け出は303件 - ソフト、サイトともに増
情報流出を狙った攻撃が5割超 - 脆弱性探索も
2020年3Qは脆弱性届出が1.3倍に - ソフト、サイトいずれも増加
2020年2Qの脆弱性届出、「サイト」「ソフト」いずれも減
2020年1Qの脆弱性届け出は263件 - ウェブサイト関連が倍増
レンサバで運営されるウェブへの攻撃、約半数が「SQLi」
2019年4Qは脆弱性の届け出が半減 - ウェブ関連が大幅減
10月は「Emotet」が急増 - 3カ月間の休止経て
「SQLインジェクション」を多数観測 - CMSのDB狙う攻撃も