Webの危険度が深刻な状況に
09 9/7
インターネットの危険度が加速しているという事実が、多方面から報告されている。米IBM社は、同社が発表したセキュリティレポートにおいて、現在のWebはかつてないほどの危険にさらされていると警告を発した。同報告書によると、アプリケーションのぜい弱性のパッチをベンダーは5割程度しか開発できていないという状況で、多くのソフトをインストールしている環境では、ウインドウズアップデートやアドビの自動更新といったベンダーからの更新情報提供に委ねているだけでは、セキュリティ対策は不十分であることは明らかだ。また、情報処理推進機構(IPA)は、8月にWebサイトを狙った攻撃の増加で注意を喚起した。海外からの無差別攻撃の増加で、国内の安全なサイトでさえも危険なサイトに変わる可能性がある。Webを取り巻いている環境の悪化は、深刻の一途をたどっているようだ。
IBM社の「X―フォース・トレンド&リスクレポート」によると、今年上半期に新規に発見された悪質なWebリンクの数は、前期比で4倍になったとしている。
内容に関しても、怪しいサイト以外にも検索エンジンやブログ、掲示板、個人サイト、SNS、主要ニュースサイトなどの信頼されたWebサイトに悪意あるコンテンツが埋め込まれる例が増え、隠されたWeb攻撃、特にアドビのPDFファイルによる攻撃レベルが高くなるなど、攻撃手法が巧妙化しているという。
その原因となるのが外部からのWebサイトへの攻撃だが、正規のWebサイトに悪質なコードを埋め込む「SQLインジェクション攻撃」は、2008年第4・四半期から2009年第1・四半期までに50%増加し、09年第1四半期から第2・四半期までには約2倍に増加したという状況だ。
IPAによると、国内では今年6月から海外からの同攻撃が急激に増加しており、6月が287件、7月が534件あったとしている。
防衛対策は本来ならば専門家に相談すべきだが、無償で手早くできるサービスも提供されているので、まずはそれらを活用してみてはどうだろうか。例えばWebサイトへの攻撃に関しては、IPAがWebサイトが日頃どれだけの攻撃を受けているか、攻撃が成功した可能性があるかを解析する。簡易ツール「SQLインジェクション検出ツール」を提供している。
個人向けには、オンラインでパソコンにインストールされているアプリケーションのセキュリティパッチが最新のものかどうかを調べ、最新でない場合はコンソールからアップデートできるサービスをエフセキュアが提供、自治体に対しては、地方自治情報センター(LASDEC)が遠隔での「ウェブ健康診断」を実施し、診断した結果をふまえて対処法などを提供している。
これらは一例で、他にも様々なサービスが提供されている。対策してもきりがないと考えずに、チェックを習慣づけることが大きなセキュリティ事故の未然防止につながっていくはずだ。
関連サイト
情報処理推進機構(IPA) SQLインジェクション検出ツール紹介のページ
エフセキュア ヘルスチェックオンライン(インターネット・エクスプローラーのみ対応)