脅威の現状
Webアプリケーションの脆弱性とは、CGIやサーブレットなどクライアントからの要求に対して動的に応答するプログラムに内在するセキュリティ上の問題をいいます。脆弱性を抱えるWebサイトにはWebブラウザから容易に攻撃を行うことができ、かつ、起こりえる被害の影響が大きいため、オンラインサービスに携わる企業にとって深刻な問題となっています。
7割以上のサイトに脆弱性が存在する!
Webサイトへの不正アクセスによる事件が後を絶ちませんが、すべてはWebサイト自体に存在する脆弱性の多さが根本的原因です。Webサイトを狙ったHTTPの攻撃が6割を超えている!
Webサイトへの攻撃は、ある程度の知識があればWebブラウザから容易に行えるため、攻撃者にとっては格好の攻撃対象となっています。不正アクセスの動機が愉快犯的なものから利益追求に移行していることから、直接DBから情報をとれるSQLインジェクションの増加が著しく、ここ数年で約4倍に件数が膨れ上がっています。
巨額な情報を漏洩した際の損害賠償額
Webサイトの重要度はますます高くなっており、扱う情報も重要なものとなっています。それにつれて、万が一情報漏洩した場合の損害賠償額は信じられないほどの高額になるとされています。| 2002年度 | 2003年度 | 2004年度 | |
|---|---|---|---|
| 年間の 想定損害賠償総額 |
189億2,201万円 | 280億6,936万円 | 4,666億9,250万円 |
| 一件当たりの 平均想定損害賠償額 |
3億4,404万円 | 5億5,038万円 | 13億8,897万円 |
特定の企業を狙い打つスピア型攻撃
これまでのオンライン上の脅威は、いうならば、しかけ網のようなものでした。メール添付型ウィルスやフィッシング詐欺など、不特定多数をターゲットとし、ユーザ自身が誤ったアクションを起こすのを待ち構えていたのです。これらの動機は愉快犯的なものや技術力の誇示などがほとんどでした。ところが最近は、特定の企業や組織に向けて文面や送信者名を“カスタマイズ”したフィッシング・メールや、マルウェアが添付されたメールが確認され始めています。このような攻撃は特定の企業に狙いを定めて鋭い矛先を一突きする“スピア型攻撃”と呼ばれています。そこにはもはや世間を驚かしてやろうという気持ちはなく、明らかに利益を得ることを目的として、粛々と攻撃が遂行されているのです。
このように、不正アクセスの目的が金銭奪取にスライドしてきた場合、Webアプリケーションの脆弱性は攻撃者にとって我先にと一突きしたくなる格好の獲物といえます。なぜならば、Webサイト上では個人情報や商品の価格情報、クレジットカード情報など金銭に直結するデータがやりとりされているのだから。こうした背景を洞察するに、優先すべきセキュリティ対策の優先順位は
(1) Webアプリケーション
(2) サーバ
(3) ネットワーク
といわれていますが、今後この優先順位がより確固たるものとなることが予想されます。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。
イベント・セミナー
AppScanに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- watchfire@techmatrix.co.jp