ニュース
» 2007年09月04日 07時00分 公開

多様な脆弱性が存在する商用サイト:「会社の息の根を止める」攻撃 (1/2)

Web2.0やSaaSなどWeb技術が花盛りだが、気になるのはWebアプリケーションを用いた商用サイトの脆弱性だ。今、自社のサイトに存在する脆弱性を確認し、必要な対策を講じる必要がある。

[梅田正隆(ロビンソン),アイティセレクト]

自社サイトが「汚物」をまき散らす側に

 今日、企業は顧客に対して、自社のWebサイトを通じて信頼できるWebアプリケーションやWebサービスを提供しなければならない。仮にそのWebサイトが信頼性に欠け、脆弱性をはらんでいることを顧客が知れば、企業は即時に顧客を失うことになる。企業にとっては、Webサイトに攻撃を仕掛けてくる犯罪者に自社のシステムを破壊されたり、重要な機密データを盗まれるといった被害だけでは済まされない。Webサイト閉鎖に伴って取引機会を消失する、顧客を詐欺事件の被害者にしてしまう以外にも、ボットが組み込まれたことに気づかず、多数の顧客をボットに感染させてしまうこともある。そうなると企業の存続も危うくなる。

 「当社のWebサイトのように、Webアプリケーションと呼べるような機能を公開しているわけでもなく、文字と画像で構成される静的なページを表示するWebサイトは心配ない」などと判断するのは早計だ。ここでは、とくにアプリケーションに注目しているが、Webサイトのどこかにセキュリティ上の不備があれば、システムは汚染され、汚物をまき散らす側に回る可能性はある。

 今日、多くの企業ではWebアプリケーションあるいはWebサービスが提供されており、多くの人がそれを利用している。顧客に個人情報を登録してもらうフォームであったり、在庫情報を呼び出したりする機能であったりする。こうしたアプリケーションには欠陥が含まれていることがあり、そのうちのいくつかが、潜在的な攻撃に対して脆弱性を持っている。

 「潜在的」と呼ぶのは、善良なる利用者による一般的な利用については大きな問題は生じないものの、特有の操作が行われるとシステムを乗っ取られたり、顧客のパスワードやクレジット情報を盗まれるといった脆弱性が存在するという意味だ。

       1|2 次のページへ

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ