IR 情報

お問い合わせ

BLOG

情報セキュリティ BLOG

Web セキュリティ

2021 年 11 月 29 日

ウェブサイトの脆弱性を見逃していませんか?

~ 脆弱性管理と定期的な脆弱性診断によりセキュリティホールをなくしてセキュアなサーバー運用を ~

ウェブサイトの攻撃手法

ウェブサイトの古典的な攻撃手法として SQL インジェクションというものがあり、被害事例が多く報告されています。あらゆる情報システムにはデータベースが利用されています。オンラインショッピングサイトや会員制サイト、SNS などさまざまなウェブサービスにはこのデータベースが欠かせません。
オンラインショッピングサイトでは、顧客情報、商品情報、注文情報などの機密性の高い情報がデータベースに保管されています。ウェブサイト上でこのデータベースの検索、読み出しには多くの場合、SQL で記述されたプログラムによって処理されています。SQL インジェクションは、この SQL と呼ばれる言語で記述したプログラムを悪用して、データベースを不正操作する攻撃手法で、SQL インジェクションによって以下のようなリスクが発生します。

情報漏えい

データベースに保管されている個人情報が漏えいし、不正に利用されることや第三者に情報を販売されるなどのリスクがある。

データの改ざん・消去

SQL インジェクションは、データベースの読み出しだけでなく、データ改ざんや消去されるリスクがある。

不正アクセス

不正アクセスされると、個人情報を含む機密情報が窃取されるだけではく、バックドアを仕掛けられてしまうことや踏み台にされることなどのリスクがある。

SQL インジェクション以外で被害事例が多い攻撃手法として、クロスサイト・スクリプティング(XSS)というものがあります。この攻撃手法は、アンケートサイト、サイト内検索、ブログ、掲示板や SNS などのウェブアプリケーションの脆弱性を利用して悪意あるコードを埋め込み、スクリプトを実行させるものです。その結果、悪意ある別のウェブサイトに遷移され、マルウェア感染の可能性や個人情報を窃取される恐れがあります。

 クロスサイト・スクリプティングのイメージ写真

ウェブサイトの脆弱性による被害

情報処理推進機構(IPA)の調査報告「 ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期(7 月~9 月) 」によると、ウェブサイトの脆弱性のうち、「クロスサイト・スクリプティング:58%」「DNS 情報の設定不備:12%」「SQL インジェクション:11%」となっています。また、同調査では脆弱性によって発生した被害については、「本物サイト上への偽情報の表示」、「ドメイン情報の挿入」、「データの改ざん、消去」が全体の約 8 割を占めており、クロスサイト・スクリプティング」「DNS 情報の設定不備」「SQL インジェクション」などにより発生したものです。

 ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期

( 出典 ) IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期(7 月~9 月)]」

同調査では、オープンソースソフトウェア(OSS)の脆弱性に関する届出状況を報告しており、41% と高い割合になっています。その他、ソフトウェア製品の脆弱性に関する届出状況を報告しており、ウェブアプリケーションの脆弱性が 56% と最多となっており、脆弱性が原因となる被害として「任意のスクリプトの実行」が最も多く 35% を占めています。

 ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期

( 出典 ) IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期(7 月~9 月)]」

脆弱性対策に求められることは?

多くのウェブサイトで利用されているソフトウェアには、数多くの脆弱性が発見されており、自社のウェブサイトでどのようなソフトウェアや OSS などを利用しているか適切に把握し脆弱性対策を行うことが重要です。
IPA では、脆弱性の理解や対策にあたって、「安全なウェブサイトの作り方」、「安全なウェブサイト運営にむけて ~ 企業ウェブサイトのための脆弱性対応ガイド ~」など、ウェブサイト運営者にとって必要なさまざまな情報を提供しています。

脆弱性対策にあっては、日々発生する脆弱性情報を把握することと、利用しているソフトウェアや OSS の脆弱性管理、ウェブサイトやウェブアプリケーションの脆弱性に対応することが重要です。
サイバートラストでは、ウェブアプリケーションの脆弱性を診断するサービスとして、経済産業省 「情報セキュリティサービス基準」に適合した「Web アプリケーション診断サービス 」を提供しています。また、脆弱性を管理するため、最新の脆弱性対策情報データベース(CVE)との照合により、脆弱性管理情報の一元管理と脆弱なソフトウェア対策のタイムリーな対応を可能にする「MIRACLE Vul Hammer (ミラクル バル ハンマー)」を提供しています。

本記事に関連する製品
本記事に関連するリンク
あなたの会社の情報セキュリティ チェックリスト : サイバートラスト 情報セキュリティコンサルティングサービス
Web アプリ開発企業向け 情報セキュリティ対応度チェックリスト : サイバートラスト 脆弱性診断サービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS