不正アクセス可能な企業サイトは41％――セキュリティ診断結果

個人情報などの重要情報に不正アクセスできる企業サイトは41％――こんなセキュリティ診断結果を、NRIセキュアテクノロジーズが発表した。

[ITmedia]

　個人情報などの重要情報に不正アクセスできるサイトは41％――NRIセキュアテクノロジーズは7月28日、昨年度中に手がけた企業サイトのセキュリティ診断結果を発表した。

　セキュリティ診断は、Webサイトのシステムの安全性を診断する同社のサービス。昨年4月1日から今年3月31日までに、48社・169サイト（PC・携帯サイトを含む）を診断した。

　診断したサイトを運営する企業の内訳は、金融業が51％、情報通信が26％、サービス業が11％、製造業が5％、流通業が2％、その他が5％。

41％は不正アクセス可能、30％は情報漏えいの可能性あり

　パスワードや個人情報、口座残高や注文履歴など、正規のユーザー以外はアクセスが制限されるべき「重要情報」に不正アクセスできるWebサイトは41％あった。重要情報の漏えいにつながる可能性があるサイトは30％、危険度の高い問題が発見されなかったサイトは29％だった。

　セキュリティ診断を初めて受けた企業のサイトのうち、重要情報に不正アクセスできたのは54％、情報漏えいにつながる可能性があったのは39％。診断を受けたことがある企業の場合は、重要情報に不正アクセスできたのは35％、情報漏えいにつながる可能性があったのは33％だった。

セキュリティ対策、“漏れ”に注意を

　SQLインジェクション攻撃によって重要情報に不正アクセスできたサイトは全体の22％、別のユーザーになりすまして重要情報に不正アクセスできたサイトは20％、Webサイトの管理者機能などの特権を不正に操作して重要情報にアクセスできたサイトは12％だった。

　SQLインジェクション攻撃によって重要情報に不正アクセスができたサイトのうち、対策が全くされていなかったのは16％。残り84％には対策漏れがあった。

　クロスサイトスクリプティング攻撃によって重要情報が漏えいする可能性があるサイトは60％。うち25％は対策が全くされていおらず、残り75％には対策漏れがあった。

　「サイトの開設後に、追加で実装した小規模の画面にのみ問題が見つかるといったケースもある。長期間にわたるアプリの開発・保守フェーズで、いかに対策漏れを防ぐかが重要なテーマ」（同社）

携帯サイトはセッションIDに問題が

　携帯電話向けサイト（オンラインバンキングやオンラインショッピングなど）についても安全性を調べた。ほとんどの項目でPCサイトより安全性が高かった一方、セッションIDが推測でき、ほかのユーザーになりすますことができたサイトだけはPCよりも15ポイント多く、25％あった。

　推測可能なセッションIDが携帯サイトに多いのは、（1）URLで利用できる文字列の長さに制限がある、（2）セッションIDの生成ロジックで安全性が高いアルゴリズムを採用していない、（3）コンテンツ変換サーバ（Webコンテンツを各携帯キャリア専用フォーマットに変換するサーバ）に不具合がある――といった理由が考えられるとしている。