SQLインジェクション攻撃数が300倍に!?

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

SQLインジェクション攻撃数が300倍に!?

2009/02/17


 前回の「ケースファイル」で、手口と対策をくわしく紹介したSQLインジェクションだが、実際にはどのような頻度で被害が生じているのだろうか。今回は、統計からみた現状と最新の傾向をレポートする。不正アクセスに起因する他の問題、および脆弱性に関する情報入手法も含め、今後の対策にぜひ役立てていただきたい。

SQLインジェクション


1

SQLインジェクションによる被害状況

 2006年以降、Webサイトへの攻撃が年々増加の一途をたどっている。セキュリティ上の重要インシデントのターゲットに占めるWebサイトへの攻撃の割合をみると、2006年には53%だったのが、2008年には95%までになっている(図1)。現在では、重要なセキュリティインシデントのほとんどが、Webサイトで発生していることになる。

図1 重要インシデントのターゲット
図1 重要インシデントのターゲット
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 そこで今回は、株式会社ラックのJSOC(Japan Security Operation Center)による監視状況と、IPA(情報処理推進機構)への届出状況をもとに、統計からみた現状と傾向をレポートする。
  JSOCは、ラックが2002年に開設したセキュリティ監視センターで、独自の「おとりサーバ」が収集した攻撃を分析してサイバー攻撃の最新傾向を調査し、年に2回「侵入傾向分析レポート」を一般に公開している。またIPAは、2004年から、ソフトウェア製品およびWebアプリケーションの脆弱性に関する情報の届出を受け付けており、毎月レポートをプレスリリースとして公開している。こうした情報にも、日ごろから目を向けておくようにしたい。

1-1

Webサイトの脆弱性届け出が激増中

 次に、図2をみていただきたい。2008年第4四半期(2008年10月から12月まで)のIPAへの脆弱性情報の届出件数は合計1430件に及び、ソフトウェア製品に関するものがわずか60件だったのに対して、段違いに多い。2004年の受け付け開始まで遡って累計をみても、ソフトウェア製品に関するもの861件に対し、Webサイトに関するものは3514件に達し、Webサイトに関する届出が全体の約5分の4を占めている。

図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 2008年の第3四半期以降に届出が急増しているのは、今回のテーマであるSQLインジェクションの他、クロスサイトスクリプティングや、DNSキャッシュ・ポイズニングに関する届出も激増しているからだ。クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、訪問者が入力した内容をそのままサイトに反映するようなプログラムが、悪意あるコードを訪問者のブラウザに送ってしまう脆弱性で、この届出が44%を占めている。2番目に多いのが、DNSキャッシュ・ポイズニングに関する届出だ。これはDNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトで、DNSサーバに脆弱性や設定の不備があった場合に生じる問題である。さらに、SQLインジェクションは16%を占め、その他の届出ではファイルの誤った公開が3%、HTTPレスポンス分割が2%などとなっている(図3)。

図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

セキュリティ情報局にご登録頂いた方限定で「SQLインジェクション攻撃数が300倍に!?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


SQLインジェクション/SQLインジェクション攻撃数が300倍に!?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SQLインジェクション」関連情報をランダムに表示しています。

SQLインジェクション」関連の製品

クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】 脆弱性対策にDDoS攻撃、企業の「顔」であるWebサイトへの攻撃にどう対処するか 【株式会社ラック】
WAF WAF WAF
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止 脆弱性対策にDDoS攻撃、企業の「顔」であるWebサイトへの攻撃にどう対処するか

SQLインジェクション」関連の特集


昨年頃から急増しているWebサイトへの新しい攻撃。ファイアウォールも気づかないこの手の攻撃を防ぐには…



社会不安を煽るサイバー攻撃。被害が相次ぐ標的型攻撃には従来の入口対策が通用しない?進化する攻撃とその…



 ドアのカギを開けっ放しにして外出する人はほとんどいないはずだ。誰だって家の中の大事なモノを取られた…


SQLインジェクション」関連のセミナー

発注者側が理解すべきCI(継続的インテグレーション)成功秘訣 【主催:コウェル/協力:オープンソース活用研究所】 締切間近 

開催日 6月2日(金)   開催地 東京都   参加費 無料

【Webシステムの開発において、発注者側が理解するべきポイント】本セミナーでは、WebシステムやWebサービスのオーナーが、そのシステム開発を委託する際のポイン…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003066


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ