PR
Webサイトのセキュリティ診断結果。大きな問題が見つからなかったサイトは21%しかなかった(NRIセキュアテクノロジーズの資料より)
Webサイトのセキュリティ診断結果。大きな問題が見つからなかったサイトは21%しかなかった(NRIセキュアテクノロジーズの資料より)
[画像のクリックで拡大表示]
主な3つの問題が発生した割合。SQLインジェクションの発見割合が最も多い(同上)
主な3つの問題が発生した割合。SQLインジェクションの発見割合が最も多い(同上)
[画像のクリックで拡大表示]

 約半数のWebサイトに、個人情報の漏洩につながりかねない脆弱性が見つかった――。NRIセキュアテクノロジーズは2006年7月24日、企業や官公庁のWebサイト167件の安全性を調査した結果を公表した(発表資料)。ユーザーの個人情報などの重要な情報に不正にアクセスできるWebサイトは、全体の50%。個人情報以外の情報漏洩の危険性も含めると、79%ものWebサイトに脆弱性があったという。

 調査対象となったのは、同社が提供しているWebサイトのセキュリティ診断サービスを2005年度に利用した企業や官公庁のWebサイトで、167件のうち72件は東証一部上場企業。これらのWebサイトに対し、同社のセキュリティコンサルタントが高度な攻撃手法を用いて不正アクセスを試みた。

 不正アクセスを許してしまった要因は大きく3つ。(1)重要情報にアクセスできる人かどうかのチェック不足によるなりすまし、(2)一般ユーザーとしてログインした人の不正な権限昇格による管理者機能の実行、(3)データベースに特殊な命令文を渡すことで不正な操作を実行する「SQLインジェクション」である。2005年度の調査で最も多く発見されたのは(3)で、全体の35%のWebサイトがこの問題を抱えていた。2004年度の21%と比べると大幅な増加。同社はその主な理由として、この問題に関する技術情報が多く公開されたことで以前よりも多くの問題を発見できるようになったことを挙げている。以前から存在していた問題が、ようやく明らかになり始めたということだろう。

 こうした問題に対処するために、同社は各種業界団体が発行しているセキュリティガイドラインを参考にすることを呼びかけている。また、不正アクセスを早期に発見するために重要な操作の実行時には管理者に通知される仕組みを導入すること、暗証番号やパスワードを他人に知られないようにすることなど、基本的な対策を見直すことも必要だとしている。