「WWWアプリケーションの92％が攻撃に対して脆弱性有り」，米WebCohortの調査

早坂利之

2004.02.18

　米WebCohortは米国時間2月2日，WWWアプリケーションのセキュリティに関する調査結果を発表した。それによると，WWWアプリケーションの92％以上が，攻撃に対する脆弱性があることが明らかとなった。

　調査は，電子商取引，オンライン・バンキング，およびSCMなどで利用されている250種類以上のWWWアプリケーションを対象に，4年にわたってテストを行ったもの。

　主な脆弱性としては，クロスサイト・スクリプティング，SQLインジェクション，パラメータの改ざんなどが挙がっている。

■アプリケーション層における主な脆弱性
-------------------------------------------------------------
     攻撃の種類                       攻撃を受ける割合
-------------------------------------------------------------
     クロスサイト・スクリプティング          80％
     SQLインジェクション                     62％
     パラメーターの改ざん                    60％
     クッキーの改ざん                        37％
     データベース・サーバーへの攻撃          33％
     WWWサーバーへの攻撃                     23％
     バッファ・オーバーフロー                19％
-------------------------------------------------------------
出典：WebCohort社

　これらの脆弱性をつく攻撃はごく一般的なものだが，企業の大半は自社のWWWサイト，アプリケーション，サーバーなどに適切な対策を施していない。

　企業がファイアウオールや侵入検知／防止システムを導入している場合でも，多くの攻撃は検知さえされずに侵入し，顧客データにアクセスしたり，WWWサイトやサーバーを停止に追い込んだり，業務内容の詐取を行なっているという。

　米連邦取引委員会（FTC）が1月に発表した調査結果によると，インターネット上の詐欺による消費者の被害額は，米国だけで推定2億ドルに及ぶ。WWWアプリケーションのセキュリティが不十分であることが，これらのインターネット詐欺や攻撃につながっている。

　「ネットワーク・セキュリティが強化されたことで，攻撃者の標的はWWWアプリケーションに向かっている。WWWアプリケーションにおける脆弱性が企業や消費者にどれだけのリスクをもたらすのか，ようやく明らかになり始めたところだ」（WebCohort社CEOのShlomo Kramer氏）