Webアプリの脆弱性放置や甘いパスワードは格好の標的
10月ごろから不正アクセスによる被害が目立っている。先月もショッピングサイトサーバ内の個人情報が流出した事件や、eラーニングサイトの改ざんなど発生しているが、今月に入っても地方自治体や大手ポータル、通販サイトなど、あらたな被害が明らかになっている。
中でも目を引いたのは、地方自治体や企業向けポータルなどにおけるWebサイト改ざんだ。不正なコードが埋め込まれ、閲覧者にウイルス感染が発生するもので、すべてのページが改ざんされたり、十数種類のウイルスに感染するおそれがあるなど、被害規模も大きかった。
やや下火だった不正アクセスが再び増加傾向に
情報処理推進機構(IPA)では、不正アクセスに関する届け出や相談を受け付け、毎月件数を
公表しており、10月は届け出と相談、合わせて47件に達したという。2007年前半は、1月に84件、2月に73件と多かったが、6月の68件を最後に、以降は30件台に落ち着いていた。
しかし、再び10月に増加傾向が現れており、警戒が必要となっている。しかも、47件中31件でなんらかの具体的な被害が発生している点にも注目しなければならない。IPAでは、脆弱性が解消されていなかったり、安易なパスワード設定から被害につながっているとして注意を呼びかけている。
サイバー攻撃で格好の標的となる「脆弱性問題」だが、7月から9月までにIPAとJPCERT/CCが受け付けたWebアプリの脆弱性は103件にのぼっている。ウェブアプリだけでも、毎日1件以上の脆弱性が届けられている計算だ。潜在的に存在する脆弱性は、これどころの話ではないだろう。
さらに驚くべき情報もある。脆弱性については、被害拡大を防ぐためにも、発見後の迅速な対応がより重要となるが、脆弱性に気が付きながら放置されていることもあるのだ。IPAによると、対応が必要として脆弱性を指摘した場合、通知から90日以内に修正を完了したケースは8割弱で、300日以上経過しても完了していないケースが50件あったという。そのなかには深刻な脆弱性も含まれている。
本来、不正アクセスを受ければ被害者だが、脆弱性に気が付きながら放置するなど、管理上の不備が原因で情報漏えいやウイルス感染など被害が広がれば、加害者としての責任を追求される可能性も高い。もし、「脆弱性があっても、まさか自分が攻撃の対象にはならないだろう」と安易に判断をしているのであれば、かなり危険だ。
犯罪者がより攻撃しやすい環境が整ってきている
サイバー犯罪が、愉快犯から経済犯に移行していることは昨年あたりから指摘されており、今後ますます攻撃は巧妙化、悪質化が進むと予測される。実際、すでに脆弱性に対する攻撃の増加が報告されている。
ラックが上半期のインターネット上の脅威をまとめたレポートによれば、SQLインジェクションの攻撃件数が、昨年から約6倍に跳ね上がっている。またレポートでは攻撃ツールの進化を伝えており、犯罪者にとって、より攻撃しやすい環境が整ってきていることを強く認識しておくことが必要だろう。
ニュースガイア
Security NEXTを運営するニュースガイアは、ニーズが高く密度の濃いセキュリティ関連の情報をピンポイントで配信することを目的に2006年に設立されたベンチャー企業。大手マスメディアで執筆経験があるライターや編集者が参加している。ベンチャー企業ならではのフットワークの良さ、ユニークな視点から独自の情報を配信。
|