Webアプリの脆弱性はほぼすべてのWebサイトに存在、ラックがレポート公開

ラックのセキュリティ研究所は、Webアプリケーションの脆弱性の現状についてまとめた「ホームページからの情報漏洩に対する脅威の現状」と題するレポートを公開した。

[高橋睦美，ITmedia]

　ラックのセキュリティ研究所は5月24日、「ホームページからの情報漏洩に対する脅威の現状」と題するレポートを公開した。同社が2004年に国内企業を対象に実施したWebアプリケーション検査／セキュリティ監査などの結果を元に、Webアプリケーションの脆弱性の現状についてまとめたものだ。

　このレポートは、同社が国内企業122社に対して実施したホームページ情報漏洩診断サービスの結果、約200社で行ったセキュリティ監視結果、および調査を担当した数十件の個人情報漏洩事件の調査結果を合わせ、分析したもの。

　同社によると、クロスサイトスクリプティングやSQL／コマンドインジェクション、セッション管理の脆弱性といったWebアプリケーションの脆弱性を狙う攻撃ツールが登場したこともあり、2004年10月以降、Webアプリケーションをターゲットにした攻撃は急増傾向にあるという。一方で、OSやサーバ機器におけるセキュリティ対策に比べ、Webアプリケーションについては相対的にセキュリティ対策が不十分な状況も明らかになった。

原因は関係者のセキュリティに対する「理解不足」

　まず、Webアプリケーション検査の結果によると、「ほとんどすべてのWebサイト」に何らかの脆弱性が発見されたという。特に多く見つかったのはクロスサイトスクリプティング（67％）、セッション管理不備（61％）。またリクエストを送り込むことで不正な操作を行うインジェクション関連の脆弱性も37％で発見された。

Webアプリケーション脆弱性の検出の割合（出典：ラック コンピュータセキュリティ研究所）

　だが残念ながら、Webアプリケーションの脆弱性に関して企業側の対処が進んでいるとはいいがたい。

　Webアプリケーションとサーバ機器に対して同時に検査を行った企業の結果を見ると、サーバ機器に対するセキュリティ調査の結果では、70％以上が5段階評価のうち良いほうから2段階までに分類された。一方、Webアプリケーションの脆弱性について同じカテゴリに分類されるのは25％足らずであり、35％以上は「重大な欠陥あり」と評価されている。また、ISMS認証やプライバシーマークを取得しているからといって、必ずしもWebアプリケーションの脆弱性に対処できているわけではないことも明らかになった。

サーバ検査結果とWeb アプリケーション検査結果の対比（出典：ラック コンピュータセキュリティ研究所）

　ラックではこういった結果が出た原因の1つとして、「Webサイト構築にかかわる関係者、特に意思決定にかかわる人物がセキュリティに対する重要性を十分に理解できていない」点を挙げている。個人情報保護法への対応として、「内部犯行」に対する対策の重要性が認識されるようになったが、一方でネットワーク経由で行われる外部からの攻撃に対する危険性を認識する必要があるとした。

　なおこの調査結果は、ラックが提供する検査サービスを受けた、つまり比較的セキュリティに対する関心が高い企業のデータを元にしたものに過ぎない。このことを考えると、「一般のWebサイトにおいては、重大な問題点が放置されたまま運用されているケースが非常に多く存在するものと推測」（ラック）できるという。

　一方で、Webアプリケーションの脆弱性を突く攻撃は増加している。2004年12月の数字を1年前に比べると、クロスサイトスクリプティング攻撃は約1.3倍、SQLインジェクション攻撃は約4倍に増加したということだ。

　ラックでは一連の調査結果を踏まえ、Webサイト／Webアプリケーションに対するセキュリティ対策を早急に行うべきだと指摘。Webサイトの設計、開発段階からセキュリティ用件を整備し、サービス開始前はもちろん、開始後も定期的にセキュリティチェックを実施すべきとしている。合わせて、個人情報の漏えいや金銭的な被害を防ぐために、「利用者保護」を念頭に置いた安全対策の実施が必要だと提言している。