SQLインジェクション攻撃数が300倍に!?

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

SQLインジェクション攻撃数が300倍に!?

2009/02/17


 前回の「ケースファイル」で、手口と対策をくわしく紹介したSQLインジェクションだが、実際にはどのような頻度で被害が生じているのだろうか。今回は、統計からみた現状と最新の傾向をレポートする。不正アクセスに起因する他の問題、および脆弱性に関する情報入手法も含め、今後の対策にぜひ役立てていただきたい。

SQLインジェクション


1

SQLインジェクションによる被害状況

 2006年以降、Webサイトへの攻撃が年々増加の一途をたどっている。セキュリティ上の重要インシデントのターゲットに占めるWebサイトへの攻撃の割合をみると、2006年には53%だったのが、2008年には95%までになっている(図1)。現在では、重要なセキュリティインシデントのほとんどが、Webサイトで発生していることになる。

図1 重要インシデントのターゲット
図1 重要インシデントのターゲット
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 そこで今回は、株式会社ラックのJSOC(Japan Security Operation Center)による監視状況と、IPA(情報処理推進機構)への届出状況をもとに、統計からみた現状と傾向をレポートする。
  JSOCは、ラックが2002年に開設したセキュリティ監視センターで、独自の「おとりサーバ」が収集した攻撃を分析してサイバー攻撃の最新傾向を調査し、年に2回「侵入傾向分析レポート」を一般に公開している。またIPAは、2004年から、ソフトウェア製品およびWebアプリケーションの脆弱性に関する情報の届出を受け付けており、毎月レポートをプレスリリースとして公開している。こうした情報にも、日ごろから目を向けておくようにしたい。

1-1

Webサイトの脆弱性届け出が激増中

 次に、図2をみていただきたい。2008年第4四半期(2008年10月から12月まで)のIPAへの脆弱性情報の届出件数は合計1430件に及び、ソフトウェア製品に関するものがわずか60件だったのに対して、段違いに多い。2004年の受け付け開始まで遡って累計をみても、ソフトウェア製品に関するもの861件に対し、Webサイトに関するものは3514件に達し、Webサイトに関する届出が全体の約5分の4を占めている。

図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 2008年の第3四半期以降に届出が急増しているのは、今回のテーマであるSQLインジェクションの他、クロスサイトスクリプティングや、DNSキャッシュ・ポイズニングに関する届出も激増しているからだ。クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、訪問者が入力した内容をそのままサイトに反映するようなプログラムが、悪意あるコードを訪問者のブラウザに送ってしまう脆弱性で、この届出が44%を占めている。2番目に多いのが、DNSキャッシュ・ポイズニングに関する届出だ。これはDNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトで、DNSサーバに脆弱性や設定の不備があった場合に生じる問題である。さらに、SQLインジェクションは16%を占め、その他の届出ではファイルの誤った公開が3%、HTTPレスポンス分割が2%などとなっている(図3)。

図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

セキュリティ情報局にご登録頂いた方限定で「SQLインジェクション攻撃数が300倍に!?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


SQLインジェクション/SQLインジェクション攻撃数が300倍に!?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SQLインジェクション」関連情報をランダムに表示しています。

SQLインジェクション」関連の製品

シマンテック クラウド型WAF 【ソフトバンク コマース&サービス】 2大Web攻撃への備えは万全か? Webページとネットワークの脆弱性をプロが診断 【ゲイトウェイ・コンピュータ】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】
WAF セキュリティ診断 WAF
WebサイトやWebアプリケーションを改修することなく脆弱性の対策を実施可能なSaaS/ASP型WAF(Web Application Firewall)。 2大Web攻撃への備えは万全か? Webページとネットワークの脆弱性をプロが診断 顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。

SQLインジェクション」関連の特集


「大掛かりなWebサイトを運営しているわけではないし……」という企業にも、アプリケーションの脆弱性や…



毎年、年末年始の人員が手薄になるスキを狙ったWebサーバへの攻撃が増加するのをご存知でしょうか。20…



手を変え品を変えて襲ってくるWebサイトを狙うサイバー攻撃の現状から防衛策としての入口対策までを解説…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003066


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ