Webサイトの約半数に致命的な脆弱性、NRIセキュア調べ

NRIセキュアテクノロジーズが2005年度に診断した167サイトのうち約5割に、情報漏洩などにつながる「致命的な欠陥」が存在した。

[ITmedia]

　NRIセキュアテクノロジーズによると、同社が2005年度に実施した診断サービスの結果、約5割のWebサイトに情報漏洩などにつながる「致命的な欠陥」が存在したという。

　NRIセキュアでは、顧客システムやWebサイトの安全性を診断するセキュリティアセスメントサービスを提供している。2005年度には企業／官公庁のWebサイト、計167サイトを対象に診断サービスを実施。この結果、危険度の高い問題が発見されなかったのはわずか21％だった。

　残る79％には何らかの問題が発見された。うち50％では、他のユーザーの個人情報をはじめとする重要情報に不正にアクセスできることが確認されたという。しかもこの数字は、2004年度（それぞれ76％、43％）に比べるとわずかながら増加しており、「依然として多くのWebサイトが危険な状態のまま運営されている」（同社）ことがうかがえるという。

　NRIセキュアはこの背景要因として、まず、Webサイトを攻撃したり、不正アクセスを行う手法／ツールが増加するとともに高度化していることを挙げている。こうした新たな攻撃に対処した結果、より新たな問題点を発見するケースが増えたと言うことだ。

　また、SQLインジェクションの脆弱性を狙った不正アクセス事件が多発したことなどを契機に、それまでセキュリティを重視してこなかったサイトまで診断サービスを受けるようになったことも、数字を押し上げる要因になっているという。

　重要情報に不正にアクセスできてしまう原因として最も多かったのは「SQLインジェクションによるデータベースの不正操作」。技術情報や攻撃ツールが数多く公開されたこともあり、前年の21％から35％に急増した。NRIセキュアでは、第一にSQLインジェクションへの対策が必要としつつ、同時に「多層的な防御」の一環として、データベース側でも「デフォルト設定の変更」「アクセス権限の設定」「復元できない形でのパスワードデータの格納」といった対策を施すことを推奨している。

　不正アクセス原因の2つめは「関連チェック不足によるなりすまし」だ。セッション管理方法に問題があり、ログイン中のユーザーが、別のユーザーの重要情報にアクセスできてしまうといった問題で、全体の30％でこの問題が発見された。

　また、「権限昇格による管理者機能へのアクセス」の問題は、全体の22％で発見された。NRIセキュアによるとこうした管理者機能は、ユーザーが社員に限定されていることもあり、一般ユーザー向けの機能に比べ費用をかけずに開発される傾向があるという。この結果、「十分なセキュリティ対策が行われないまま運営されやすい」という。

　NRIセキュアではこうした状況を解決するために、専門家による定期的なセキュリティ診断とそれに基づく継続的な対策の実施が重要であると指摘。併せて、「金融機関等コンピュータ・システムの安全対策基準・解説書 第7版」FISC安対基準（FISC安対基準）に基づくシステムの強化、データベースのセキュリティ対策を取るべきとしている。