ウェブへの攻撃で成功事例の半数弱に実被害の可能性 - ラック調査

ウェブサイトに対する攻撃のうち、成功した攻撃の5割弱で実被害が発生している可能性があることがわかった。

ラックの研究機関であるデータベースセキュリティ研究所が、無料で提供しているログ解析ツール「SecureSite Checker Free」において、2008年7月から2009年6月までの1年間にセキュリティ上問題があるとの結果が出た1269件について調査分析したもの。

攻撃が検知された1269件のうち45％は誤検知であり問題なかったが、54％にあたる682件はサイバー攻撃を受けていた。さらにこのうち約46.5％にあたる317件では、実害を被った可能性があるという。

検知された1269件は、攻撃単位でみると4345件の攻撃が確認されており、攻撃の約87％はボットを活用したと見られる「SQLインジェクション攻撃」だった。続く「強制ブラウジング（6.6％）」「クロスサイトスクリプティング（5.5％）」から突出している。

「SQLインジェクション攻撃」の約6割は調査を目的とした攻撃だったが、3割については文字列フィールドの改ざんが行われていた。またエラー画面の表示を狙っており、データの詐取などが発生したおそれがある。

同社では、ウェブアプリケーション向けのファイアウォール（WAF）を活用攻撃の防御や定期的な調査など実施など注意を喚起した。また、SQLインジェクション攻撃は、2008年12月から減少傾向にあり、FTPアカウントを詐取されるケースが増加しているとして、アカウント管理についても対策を呼びかけている。

（Security NEXT - 2009/10/01 ）ツイート