SQLインジェクション攻撃数が300倍に!?

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

SQLインジェクション攻撃数が300倍に!?

2009/02/17


 前回の「ケースファイル」で、手口と対策をくわしく紹介したSQLインジェクションだが、実際にはどのような頻度で被害が生じているのだろうか。今回は、統計からみた現状と最新の傾向をレポートする。不正アクセスに起因する他の問題、および脆弱性に関する情報入手法も含め、今後の対策にぜひ役立てていただきたい。

SQLインジェクション


1

SQLインジェクションによる被害状況

 2006年以降、Webサイトへの攻撃が年々増加の一途をたどっている。セキュリティ上の重要インシデントのターゲットに占めるWebサイトへの攻撃の割合をみると、2006年には53%だったのが、2008年には95%までになっている(図1)。現在では、重要なセキュリティインシデントのほとんどが、Webサイトで発生していることになる。

図1 重要インシデントのターゲット
図1 重要インシデントのターゲット
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 そこで今回は、株式会社ラックのJSOC(Japan Security Operation Center)による監視状況と、IPA(情報処理推進機構)への届出状況をもとに、統計からみた現状と傾向をレポートする。
  JSOCは、ラックが2002年に開設したセキュリティ監視センターで、独自の「おとりサーバ」が収集した攻撃を分析してサイバー攻撃の最新傾向を調査し、年に2回「侵入傾向分析レポート」を一般に公開している。またIPAは、2004年から、ソフトウェア製品およびWebアプリケーションの脆弱性に関する情報の届出を受け付けており、毎月レポートをプレスリリースとして公開している。こうした情報にも、日ごろから目を向けておくようにしたい。

1-1

Webサイトの脆弱性届け出が激増中

 次に、図2をみていただきたい。2008年第4四半期(2008年10月から12月まで)のIPAへの脆弱性情報の届出件数は合計1430件に及び、ソフトウェア製品に関するものがわずか60件だったのに対して、段違いに多い。2004年の受け付け開始まで遡って累計をみても、ソフトウェア製品に関するもの861件に対し、Webサイトに関するものは3514件に達し、Webサイトに関する届出が全体の約5分の4を占めている。

図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 2008年の第3四半期以降に届出が急増しているのは、今回のテーマであるSQLインジェクションの他、クロスサイトスクリプティングや、DNSキャッシュ・ポイズニングに関する届出も激増しているからだ。クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、訪問者が入力した内容をそのままサイトに反映するようなプログラムが、悪意あるコードを訪問者のブラウザに送ってしまう脆弱性で、この届出が44%を占めている。2番目に多いのが、DNSキャッシュ・ポイズニングに関する届出だ。これはDNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトで、DNSサーバに脆弱性や設定の不備があった場合に生じる問題である。さらに、SQLインジェクションは16%を占め、その他の届出ではファイルの誤った公開が3%、HTTPレスポンス分割が2%などとなっている(図3)。

図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

セキュリティ情報局にご登録頂いた方限定で「SQLインジェクション攻撃数が300倍に!?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


SQLインジェクション/SQLインジェクション攻撃数が300倍に!?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SQLインジェクション」関連情報をランダムに表示しています。

SQLインジェクション」関連の製品

クラウド型WAF「攻撃遮断くん」 【サイバーセキュリティクラウド】 セキュリティ診断サービス 【日立ソリューションズ】 Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】
WAF セキュリティ診断 ADC/ロードバランサ
個人情報流出、DDoS攻撃、Web改ざんなどの攻撃からWebサイト、Webサーバを保護する国産のクラウド型WAF。導入後の運用も全て任せることができる。 最新セキュリティ技術を駆使したセキュリティ診断と分かりやすい報告書により、増大するセキュリティ侵害と情報漏えい事件に対する効果的な対策方法を提供するサービス。 トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品

SQLインジェクション」関連の特集


 IPv6においてもフィルタリング・ルールだけではインターネットからの脅威には対応できないのはIPv…



 便利な生活を維持するのに、今やウェブサイトは欠かせない存在になっている。情報を調べることはもちろん…



 World Wide Web(WWW)は、インターネット上で情報を交換し合うためのシステムだ。We…


「ファイアウォール」関連の製品

CloudGen Firewall Fシリーズ(旧 NextGen Firewall Fシリーズ) 【バラクーダネットワークスジャパン】 次世代クラウドセキュリティ対策ソリューション Gresシリーズ 【グレスアベイル】 次世代ファイアウォールを選定する際に犯してはいけない5つの間違い 【パロアルトネットワークス】
ファイアウォール ファイアウォール ファイアウォール
UTM同等の多彩なセキュリティ機能を搭載した次世代ファイアウォール。
L7アプリケーションコントロール機能を備え、アプリケーションレベルの脅威も遮断。
次世代仮想化ファイアウォールや標的型攻撃対策サンドボックス、マルウェア解析サービスなど、高性能のセキュリティ製品をラインナップしたセキュリティトータルサービス。 次世代ファイアウォールを選定する際に犯してはいけない5つの間違い

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003066


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ