脆弱性対策の浸透で逆に「Webアプリ」「運用の不備」を狙う攻撃が増加

ラックのレポートによると、パッケージソフトウェアの脆弱性対策が進むにつれ、独自に開発されたアプリケーションや運用上の不備を狙う攻撃が増加したという。

» 2007年03月19日 15時51分 公開
[ITmedia]

 パッケージソフトウェアの脆弱性対策が進むにつれ、2006年は、独自に開発されたアプリケーションや運用上の不備を狙う攻撃が増加した――。ラックのJSOC(Japan Security Operation Center)がまとめたレポートから、国内のセキュリティ脅威の変化が明らかになった。

 ラックは3月19日、「侵入傾向分析レポート Vol.8」を公開した。2006年1月1日から12月31日にかけて、セキュリティ監視サービスを通じて蓄積されたログを基に、不正アクセスやウイルス感染といったセキュリティインシデントの傾向をまとめたものだ。

 このレポートによると、2005年から2006年にかけて、パッケージアプリケーションの脆弱性を狙った攻撃が減少した代わりに、独自に作成されたWebアプリケーション/Webサービスを狙った攻撃が増加した。2005年は、Webアプリケーションの脆弱氏を狙った攻撃が47%だったのに対し、2006年はSQLインジェクションだけで全体の49%。クロスサイトスクリプティングも14%に上っている。

 ラックはこの傾向の背景として、Windows OSやInternet Information Services(IIS)、Apacheといったパッケージアプリケーションにおける脆弱性対応作業が進み、浸透したことにより、独自に開発されたアプリケーションの脆弱性へと攻撃対象がシフトしつつあると指摘。独自アプリケーションの場合は、自ら脆弱性の有無を調査し、修正する必要があるため「コストや時間が掛かり、パッケージアプリケーションの対応と比べ、脆弱性のありかや攻撃の発見が難しく対策も遅れがち」であることが、狙われる原因だとしている。

 特にSQLインジェクションの攻撃件数は、前年比で約7倍に急増した。攻撃元のIPアドレスを見ると、2005年に続き、2006年も中国が全体の8割以上を占めている。中国語のサイトで高性能な攻撃ツールが配布されていることが原因の1つと考えられるという。

 2006年は同時に、不十分なアクセス制御や容易に推測できる脆弱なパスワードなど、サーバやネットワークの運用上の不備を狙った攻撃も増加した。その比率は、2005年は全体の8%だったものが、2006年は14%にまで増加している。

 これも皮肉なことに、パッケージアプリケーションの脆弱性の減少、パッチ適用や不要なサービスの削除といった基本的な対策の浸透が背景にある。攻撃者側はこうした変化を踏まえ、「独自のWebアプリケーションを標的にするだけではなく、人間が関わる運用の不備も標的にし始めているのではないか」とラックは述べている。

 運用上の不備の中でも特に急増しているのが、SSHやFTP経由でリモートから接続可能なサーバに対するブルートフォース攻撃だ。この攻撃では、脆弱なパスワードが総当たり/辞書攻撃によって探し出され、サーバの乗っ取りを許してしまう。盗み出されたIDとパスワードは、売買の対象になったり、さらに別のサーバへアクセスする手がかりとして用いられるという。対策としては「特にインターネットに公開しているサービスのユーザーIDとパスワードは、よりいっそう厳重に管理することが求められる」(同社)

 今後も、「セキュリティ対策が浸透すればするほど、今後も引き続き運用上の不備が標的になってしまう状態は続く」とラックでは予測。これを機に、ファイアウォールによるアクセス制御やパスワード管理といった基本的な作業を確認することが重要と指摘している。

 なお、2006年下半期、企業におけるP2Pファイル共有アプリケーションの件数は、各組織での対策が急速に浸透したこともあって、上半期に比べ半減した。

 一方で、内部ネットワークにおけるボット/ワームへの感染数は、前年度に比べ約1.5倍に増加している。原因としては、内部ネットワークからインターネットに対する通信のアクセス制御が不十分だったことが挙げられるという。今後は、インターネットへの通信を必要なもののみに制限するとともに、プロキシサーバなどを利用し、通信内容の精査、接続先の確認といった対策を取ることも重要になるという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ