SQLインジェクション攻撃数が300倍に!?

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

SQLインジェクション攻撃数が300倍に!?

2009/02/17


 前回の「ケースファイル」で、手口と対策をくわしく紹介したSQLインジェクションだが、実際にはどのような頻度で被害が生じているのだろうか。今回は、統計からみた現状と最新の傾向をレポートする。不正アクセスに起因する他の問題、および脆弱性に関する情報入手法も含め、今後の対策にぜひ役立てていただきたい。

SQLインジェクション


1

SQLインジェクションによる被害状況

 2006年以降、Webサイトへの攻撃が年々増加の一途をたどっている。セキュリティ上の重要インシデントのターゲットに占めるWebサイトへの攻撃の割合をみると、2006年には53%だったのが、2008年には95%までになっている(図1)。現在では、重要なセキュリティインシデントのほとんどが、Webサイトで発生していることになる。

図1 重要インシデントのターゲット
図1 重要インシデントのターゲット
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 そこで今回は、株式会社ラックのJSOC(Japan Security Operation Center)による監視状況と、IPA(情報処理推進機構)への届出状況をもとに、統計からみた現状と傾向をレポートする。
  JSOCは、ラックが2002年に開設したセキュリティ監視センターで、独自の「おとりサーバ」が収集した攻撃を分析してサイバー攻撃の最新傾向を調査し、年に2回「侵入傾向分析レポート」を一般に公開している。またIPAは、2004年から、ソフトウェア製品およびWebアプリケーションの脆弱性に関する情報の届出を受け付けており、毎月レポートをプレスリリースとして公開している。こうした情報にも、日ごろから目を向けておくようにしたい。

1-1

Webサイトの脆弱性届け出が激増中

 次に、図2をみていただきたい。2008年第4四半期(2008年10月から12月まで)のIPAへの脆弱性情報の届出件数は合計1430件に及び、ソフトウェア製品に関するものがわずか60件だったのに対して、段違いに多い。2004年の受け付け開始まで遡って累計をみても、ソフトウェア製品に関するもの861件に対し、Webサイトに関するものは3514件に達し、Webサイトに関する届出が全体の約5分の4を占めている。

図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 2008年の第3四半期以降に届出が急増しているのは、今回のテーマであるSQLインジェクションの他、クロスサイトスクリプティングや、DNSキャッシュ・ポイズニングに関する届出も激増しているからだ。クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、訪問者が入力した内容をそのままサイトに反映するようなプログラムが、悪意あるコードを訪問者のブラウザに送ってしまう脆弱性で、この届出が44%を占めている。2番目に多いのが、DNSキャッシュ・ポイズニングに関する届出だ。これはDNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトで、DNSサーバに脆弱性や設定の不備があった場合に生じる問題である。さらに、SQLインジェクションは16%を占め、その他の届出ではファイルの誤った公開が3%、HTTPレスポンス分割が2%などとなっている(図3)。

図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

セキュリティ情報局にご登録頂いた方限定で「SQLインジェクション攻撃数が300倍に!?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


SQLインジェクション/SQLインジェクション攻撃数が300倍に!?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SQLインジェクション」関連情報をランダムに表示しています。

SQLインジェクション」関連の製品

Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】 クラウド対応ソフトウェア型WAF InfoCage SiteShell 【NEC】
ADC/ロードバランサ WAF WAF
トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止 InfoCage SiteShellはWebサーバにインストールするソフトウェア型とWAF専用サーバのネットワーク型のどちらの形態でも導入可能。クラウド環境(IaaS)にも対応。

SQLインジェクション」関連の特集


高度化するウイルスや外部からのアタックに対抗するための、統合されたセキュリティ対策「UTMアプライア…



セキュリティ面では放っておかれがちなPOS端末や複合機を狙ったウイルス感染が日本でも増加…組込みシス…



社員が勝手にWinnyを使って著作権法違反を犯したら!?野放し状態じゃ会社の責任も問われかねないかも…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003066


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ