米Fortify Softwareが米国時間7月17日,主にWebベースのアプリケーションを狙ったサイバー攻撃に関する調査結果を発表した。それによると,現在インターネットを脅かしている攻撃パターンは大きく分けて4種類あり,過去半年で最も多いのはボット攻撃だった。
ボット攻撃は,現在Webアプリケーションを狙った攻撃の50%以上を占める。ボット攻撃は,セキュリティ対策が施されていないWebアプリケーションのコンポーネントを探す行為で,アプリケーションの構造によって危険性がほとんど無い場合と,大きな被害に発展する場合がある。またワームなどによる次段階の攻撃につながる可能性がある。
次に多いのは,Fortifyが「Googleハッキング」と呼ぶ攻撃で,全体の20%以上を占める。これはGoogleなどの検索エンジンが蓄積しているWebサイトの脆弱性に関する情報を利用して,ターゲットを定める攻撃だ。たとえば,あるWebサイトが「壊れて」いた場合に検索エンジンが発する警告などの情報をクラックして,攻撃者は脆弱なWebアプリケーションを特定することが可能になる。
ターゲット特定型の攻撃は,頻度は低いが高度なため,攻撃された際の被害は大きい。クロスサイト・スクリプティング,SQLインジェクション攻撃,バッファ・オーバーフロー攻撃などがこれにあたる。
そして最後に,Fortifyはグローバル攻撃の増加を指摘する。米国,中国,欧州をはじめとして世界中の幅広い拠点から攻撃を仕掛けており,発信地を偽る手段も巧妙なので実際の攻撃拠点が「見えなく」なっている。
Fortifyの主席研究員Brian Chess氏は,「消費者や企業はEコマースやオンラインの金融サービスがさらされている危険をよく認識して,適切な対策をとることが重要だ」と述べている。
[発表資料へ]
