米WebCohortは米国時間2月2日,WWWアプリケーションのセキュリティに関する調査結果を発表した。それによると,WWWアプリケーションの92%以上が,攻撃に対する脆弱性があることが明らかとなった。
調査は,電子商取引,オンライン・バンキング,およびSCMなどで利用されている250種類以上のWWWアプリケーションを対象に,4年にわたってテストを行ったもの。
主な脆弱性としては,クロスサイト・スクリプティング,SQLインジェクション,パラメータの改ざんなどが挙がっている。
■アプリケーション層における主な脆弱性 ------------------------------------------------------------- 攻撃の種類 攻撃を受ける割合 ------------------------------------------------------------- クロスサイト・スクリプティング 80% SQLインジェクション 62% パラメーターの改ざん 60% クッキーの改ざん 37% データベース・サーバーへの攻撃 33% WWWサーバーへの攻撃 23% バッファ・オーバーフロー 19% ------------------------------------------------------------- 出典:WebCohort社
これらの脆弱性をつく攻撃はごく一般的なものだが,企業の大半は自社のWWWサイト,アプリケーション,サーバーなどに適切な対策を施していない。
企業がファイアウオールや侵入検知/防止システムを導入している場合でも,多くの攻撃は検知さえされずに侵入し,顧客データにアクセスしたり,WWWサイトやサーバーを停止に追い込んだり,業務内容の詐取を行なっているという。
米連邦取引委員会(FTC)が1月に発表した調査結果によると,インターネット上の詐欺による消費者の被害額は,米国だけで推定2億ドルに及ぶ。WWWアプリケーションのセキュリティが不十分であることが,これらのインターネット詐欺や攻撃につながっている。
「ネットワーク・セキュリティが強化されたことで,攻撃者の標的はWWWアプリケーションに向かっている。WWWアプリケーションにおける脆弱性が企業や消費者にどれだけのリスクをもたらすのか,ようやく明らかになり始めたところだ」(WebCohort社CEOのShlomo Kramer氏)
◎関連記事
■「次はWebアプリケーションが攻撃の対象になる」と米セキュリティ業界の第一人者が語る
■米Ciscoと米IBM,企業および行政機関向けセキュリティの提供で提携
■「混合型の攻撃が増加」,米Symantecがインターネット・セキュリティに関する調査結果を発表
■米Symantecと米Microsoft,新しい安全なコンピューティング構想を促進
■「大企業はネットワークのダウンタイムで年間売上高の3.6%を損失」,米調査会社
■「2003年は電子商取引が急成長,しかしオンライン詐欺も急増」--米VeriSign調査
■米国土安全保障省がセキュリティ情報サービスを開始
■「セキュリティ担当者の66%が『自社ネットワークが100%安全になることはない』と回答」,米調査
[発表資料へ]