脅威の現状

Webアプリケーションの脆弱性とは、CGIやサーブレットなどクライアントからの要求に対して動的に応答するプログラムに内在するセキュリティ上の問題をいいます。脆弱性を抱えるWebサイトにはWebブラウザから容易に攻撃を行うことができ、かつ、起こりえる被害の影響が大きいため、オンラインサービスに携わる企業にとって深刻な問題となっています。

7割以上のサイトに脆弱性が存在する!

Webサイトへの不正アクセスによる事件が後を絶ちませんが、すべてはWebサイト自体に存在する脆弱性の多さが根本的原因です。

Webサイトを狙ったHTTPの攻撃が6割を超えている!

Webサイトへの攻撃は、ある程度の知識があればWebブラウザから容易に行えるため、攻撃者にとっては格好の攻撃対象となっています。
不正アクセスの動機が愉快犯的なものから利益追求に移行していることから、直接DBから情報をとれるSQLインジェクションの増加が著しく、ここ数年で約4倍に件数が膨れ上がっています。

巨額な情報を漏洩した際の損害賠償額

Webサイトの重要度はますます高くなっており、扱う情報も重要なものとなっています。それにつれて、万が一情報漏洩した場合の損害賠償額は信じられないほどの高額になるとされています。

  2002年度 2003年度 2004年度
年間の
想定損害賠償総額
189億2,201万円 280億6,936万円 4,666億9,250万円
一件当たりの
平均想定損害賠償額
3億4,404万円 5億5,038万円 13億8,897万円
NPO 日本ネットワークセキュリティ協会 「2004年度 情報セキュリティインシデントに関する調査報告書」

特定の企業を狙い打つスピア型攻撃

これまでのオンライン上の脅威は、いうならば、しかけ網のようなものでした。メール添付型ウィルスやフィッシング詐欺など、不特定多数をターゲットとし、ユーザ自身が誤ったアクションを起こすのを待ち構えていたのです。これらの動機は愉快犯的なものや技術力の誇示などがほとんどでした。

ところが最近は、特定の企業や組織に向けて文面や送信者名を“カスタマイズ”したフィッシング・メールや、マルウェアが添付されたメールが確認され始めています。このような攻撃は特定の企業に狙いを定めて鋭い矛先を一突きする“スピア型攻撃”と呼ばれています。そこにはもはや世間を驚かしてやろうという気持ちはなく、明らかに利益を得ることを目的として、粛々と攻撃が遂行されているのです。

このように、不正アクセスの目的が金銭奪取にスライドしてきた場合、Webアプリケーションの脆弱性は攻撃者にとって我先にと一突きしたくなる格好の獲物といえます。なぜならば、Webサイト上では個人情報や商品の価格情報、クレジットカード情報など金銭に直結するデータがやりとりされているのだから。こうした背景を洞察するに、優先すべきセキュリティ対策の優先順位は
(1) Webアプリケーション
(2) サーバ
(3) ネットワーク
といわれていますが、今後この優先順位がより確固たるものとなることが予想されます。
Rational AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業1課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。