検索
ニュース

シマンテックがWeb攻撃の傾向を解説、最多の攻撃はSQLインジェクション脆弱性の改修、必要性が分かっていても先送り?

誰もが知る「SQLインジェクション」攻撃、なのに対策は進んでいない――シマンテックが「分かっているけど対策できない」現状を解説した。

Share
Tweet
LINE
Hatena

 シマンテックは2014年9月25日、国内のWebサイトへの攻撃の傾向に関する説明会を開催した。シマンテック Trusted Services プロダクトマーケティング部 安達徹也氏は、「最近では個人情報漏えいの原因として内部犯行が話題になるが、件数で言うと外部からWebサイトに対する攻撃が多い。中でも多いのがSQLインジェクションだ」と指摘。ずいぶん以前から知られている脆弱(ぜいじゃく)性であるにもかかわらず、対処が追いついていないことが課題だとした。


シマンテック Trusted Services プロダクトマーケティング部 安達徹也氏

  シマンテックが自社で提供するクラウド型Webアプリケーションファイアウォール(WAF)サービスを導入している国内657サイトを対象に、2011年1月から2014年8月までにかけて検知した攻撃件数をまとめたデータによると、Webサイトに対する攻撃件数は、2013年後半から特に増加している。

 最も多いのは「SQLインジェクション」の脆弱性を狙った攻撃で、2013年下半期に約19万2000件、2014年上半期に約17万6000件に上った。安達氏は、これほど多くの攻撃が発生している原因として、「攻撃対象も攻撃用のツールも、検索エンジンによって簡単に見つかってしまう」ことを挙げた。

 以下「ディレクトリトラバーサル」「PHP脆弱性への攻撃」「コマンドインジェクション」と続く。また「Apache Strutsの脆弱性を狙った攻撃」は、件数こそ少ないものの、攻撃手法情報公開後に顕著に増加している他、WordPressの脆弱性を突いた攻撃も増加しているという。

 こうした攻撃への根本的な対処は、Webアプリケーションを改修し、脆弱性を修正することだ。だが、「改修するのが一番だと分かってはいても、売り上げ増のための改修などが優先され、セキュリティ修正は先送りにされがちだ」(安達氏)。現に、情報処理推進機構(IPA)が公開した「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」によると、脆弱性が報告されたサイトの3分の1が、修正に91日以上の日数を要していたという。

 安達氏は、PHP脆弱性への攻撃やApache Strutsの脆弱性を狙う攻撃を例に挙げ、日々新たな脆弱性が報告される一方で、「セキュリティ対策が追いついておらず、そうしたWebサイトが突かれている」と指摘。根本的な対処であるWebアプリケーションの改修を行う時間的猶予を作るという意味で、クラウド型WAFが有効だとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る