PR
2005年2月から2006年12月までにラックが観測した「SQLインジェクション」件数の推移(侵入傾向分析レポート Vol.8から引用)
2005年2月から2006年12月までにラックが観測した「SQLインジェクション」件数の推移(侵入傾向分析レポート Vol.8から引用)
[画像のクリックで拡大表示]

 セキュリティベンダーのラックは2007年3月19日、2006年中に同社が観測したインターネット上の攻撃をまとめた「侵入傾向分析レポート」を発表した。それによると、Webサイトのぜい弱性(セキュリティホール)を狙う「SQLインジェクション」と呼ばれる攻撃が、2005年の7倍に当たる約250件確認されたという。

 ラックでは、企業ネットワークなどに設置したセキュリティ装置(ファイアウオールIDSなど)をリモートから監視し、攻撃などを検知するとリアルタイムで対策・報告するサービス「セキュリティ監視サービス」を提供している。

 今回発表されたレポートは、2006年1月から12月までの間に、同サービスで蓄積した記録(ログ)を基に、不正アクセスの手口やウイルス感染といったセキュリティインシデント(セキュリティに関する出来事)の傾向を分析したもの。

 それによると、同社が確認したSQLインジェクションの件数は、2005年の7倍に急増したという。SQLインジェクションとは、Webサイト(Webアプリケーション)のぜい弱性を突いて、Webサイトが提供しているデータベースに不正にアクセスする攻撃手法のこと。データベースに保存している顧客データなどを盗まれる恐れがある。

 ラックでは、SQLインジェクションが急増した理由の一つを、「攻撃ツールがインターネット上に公開されたため」と分析する。攻撃ツールを使えば、スキルのない攻撃者でも、ぜい弱性のあるWebサイトを簡単に探し出してSQLインジェクション攻撃を仕掛けられるという。そのような攻撃ツールの“新版”が、2006年2月および12月に公開された。それとリンクするように、2月と12月、SQLインジェクションの観測件数が特に増えた(図)。

 攻撃対象も変化しているという。2005年以前は、一般に市販されているアプリケーションソフトのぜい弱性を狙う攻撃が過半数を占めたが、2006年には減少。代わって、ユーザー企業などが独自に作成したアプリケーションを狙う攻撃が増加し、全体のおよそ7割になった。

 市販アプリケーションの場合には、セキュリティ研究者やユーザーにぜい弱性を見つけてもらえる可能性が高い。また、ぜい弱性が見つかればメーカーが対応策(修正プログラムなど)を提供する。しかし、独自アプリケーションのぜい弱性については、ユーザー企業が自分たちで調査および修正しなければならないので、市販アプリケーションと比較して対応が遅れる。このため、攻撃者の標的になりやすくなっていると、ラックでは分析する。

 また、Webサイトのぜい弱性だけではなく、運用や設定の不備を狙う攻撃も増えている。例えば、Webサイトのパスワードを破ろうとする攻撃がこれに当たる。推測可能な“弱い”パスワードを設定しているWebサイトは容易に侵入されてしまう。このような攻撃が、2005年は攻撃全体の8%だったが、2006年には14%に増加した。