ゼイタックス

経営関連情報 (2007/06/22)

Webサイトの42%に致命的な欠陥を発見

 Webサイトへの不正アクセスによって被害を受ける事件が跡を絶たないが、企業のセキュリティ対策には格差があるようだ。NRIセキュアテクノロジーズが発表した「Webサイトのセキュリティ診断:傾向分析レポート2007」によると、同社が2006年度に146のWebサイト(企業・官公庁)に対し実施したセキュリティ診断を集計した結果、42%のWebサイトで、致命的な欠陥を発見したことが分かった。

 致命的な欠陥とは、他の利用者の個人情報やパスワード、口座残高、注文履歴などの重要情報に不正にアクセスできること。こうした致命的な欠陥のほかにも、35%のWebサイトでは、需要情報への不正アクセスは確認できなかったものの、情報漏えいにつながる可能性がある問題が発見された。これらの割合は、2005年度に比べると減少しているが、過去3年間を通じて大きな変化は見受けられない。

 重要情報に不正にアクセスできたケースでは、過去の結果と同様に「関連チェック不足によるなりすまし」(発見割合23%)、「権限昇格による管理機能へのアクセス」(同11%)、「SQLインジェクションによるデータベースの不正操作」(同23%)の3つの問題が比較的多く発見されている。しかし、これらは、2005年度の結果と比較するといずれも減少し、1つのWebサイトで複数の致命的な問題が発見されることも減った。

 一方、「クロスサイトスクリプティング」(発見割合55%)の問題は、毎年50%を超える割合で発見されている。最近は、この問題について「まったく対策されていない」Webサイトは少なくなったが、一部の画面に対策漏れがあったり、Webブラウザによる通常のアクセスでは送信することのできない特殊なリクエストを送信することで発見されるケースは、依然として多くあるという。

 ※クロスサイトスプリクティングとは、「クロスサイトスプリクティング攻撃」と呼ばれる手法により、利用者のWebブラウザ上に偽のページを表示させたり、クッキーなどの認証情報が不正に取得されたりする問題。

 同レポートの詳細は↓
 http://www.nri-secure.co.jp/news/2007/0619_report.html