Webアプリケーションの問題を持つサイト、9割超える

Webアプリケーションを利用したWebサイトの9割以上が問題を抱えている――MBSDが6月3日、公表した調査結果で分かった。

[ITmedia]

　Webアプリケーションを利用したWebサイトの9割以上が問題を抱えている――MBSDは6月3日、2004年度に行ったWebアプリケーション検査を行った結果を公表した。

　会員制Webサイトや問い合わせ機能などを備えた70サイトを検査した結果、何らかの問題を抱えているものは94％にも上った。SQLインジェクション、セッションハイジャックなど被害に直接つながる脆弱性を持つ危険度「高」のサイトは26％と全体の4分の1を超え、クロスサイトスクリプティングなどによる被害につながる可能性がある危険度「中」のサイト（31％）を併せると57％と半数を超えている。

　エラーやSSLを使用していないなどの被害につながらない脆弱性を持つサイトは37％。安全とされるサイトは6％しかない状態だった。

　過去2年の検査結果の推移をまとめたところ、2003年度から2004年度にかけて危険度「中」の比率は減少しており、Webアプリケーション構築に対する前向きな姿勢への変化が現れ始めた結果としている。しかし、危険度「高」の比率に変化が見られておらず、非常に危険な状態で運営されていることも分かった。5月には、価格比較サイトの「価格.com」、女性向けWebサイト「OZmall」などで不正アクセスにより閉鎖に追い込まれるケースも相次いでいる。

　MBSDによると、攻撃はなりすましに代表されるWebサイト全体の仕組みを突くものと、昨年から急増している不正な命令を強制的にWebアプリケーションに実行させて情報を抜き取る2つの手法に大別できる。しかし、どちらもOSの要塞化やファイアウォールの設置などといったネットワーク基盤の強化だけでは防御できないことが分かっている。同社は、Webサイトの企画、運営、開発担当者に、このことを十分に認識できている人が少ないのではないか、としている。

　MBSDは同日、Webアプリケーションの脆弱性を検査する「ホームページ安全点検サービス」を開始した。