ウェブサイトの脆弱性を見逃していませんか？

～ 脆弱性管理と定期的な脆弱性診断によりセキュリティホールをなくしてセキュアなサーバー運用を ～

ウェブサイトの攻撃手法

ウェブサイトの古典的な攻撃手法として SQL インジェクションというものがあり、被害事例が多く報告されています。あらゆる情報システムにはデータベースが利用されています。オンラインショッピングサイトや会員制サイト、SNS などさまざまなウェブサービスにはこのデータベースが欠かせません。
オンラインショッピングサイトでは、顧客情報、商品情報、注文情報などの機密性の高い情報がデータベースに保管されています。ウェブサイト上でこのデータベースの検索、読み出しには多くの場合、SQL で記述されたプログラムによって処理されています。SQL インジェクションは、この SQL と呼ばれる言語で記述したプログラムを悪用して、データベースを不正操作する攻撃手法で、SQL インジェクションによって以下のようなリスクが発生します。

情報漏えい	データベースに保管されている個人情報が漏えいし、不正に利用されることや第三者に情報を販売されるなどのリスクがある。
データの改ざん・消去	SQL インジェクションは、データベースの読み出しだけでなく、データ改ざんや消去されるリスクがある。
不正アクセス	不正アクセスされると、個人情報を含む機密情報が窃取されるだけではく、バックドアを仕掛けられてしまうことや踏み台にされることなどのリスクがある。

ウェブサイトの脆弱性による被害

情報処理推進機構（IPA）の調査報告「 ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期（7 月～9 月） 」によると、ウェブサイトの脆弱性のうち、「クロスサイト・スクリプティング：58％」「DNS 情報の設定不備：12%」「SQL インジェクション：11%」となっています。また、同調査では脆弱性によって発生した被害については、「本物サイト上への偽情報の表示」、「ドメイン情報の挿入」、「データの改ざん、消去」が全体の約 8 割を占めており、クロスサイト・スクリプティング」「DNS 情報の設定不備」「SQL インジェクション」などにより発生したものです。

( 出典 ) IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期（7 月～9 月）]」

同調査では、オープンソースソフトウェア（OSS）の脆弱性に関する届出状況を報告しており、41% と高い割合になっています。その他、ソフトウェア製品の脆弱性に関する届出状況を報告しており、ウェブアプリケーションの脆弱性が 56% と最多となっており、脆弱性が原因となる被害として「任意のスクリプトの実行」が最も多く 35% を占めています。

( 出典 ) IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2021 年第 3 四半期（7 月～9 月）]」

脆弱性対策に求められることは？

多くのウェブサイトで利用されているソフトウェアには、数多くの脆弱性が発見されており、自社のウェブサイトでどのようなソフトウェアや OSS などを利用しているか適切に把握し脆弱性対策を行うことが重要です。
IPA では、脆弱性の理解や対策にあたって、「安全なウェブサイトの作り方」、「安全なウェブサイト運営にむけて ～ 企業ウェブサイトのための脆弱性対応ガイド ～」など、ウェブサイト運営者にとって必要なさまざまな情報を提供しています。

脆弱性対策にあっては、日々発生する脆弱性情報を把握することと、利用しているソフトウェアや OSS の脆弱性管理、ウェブサイトやウェブアプリケーションの脆弱性に対応することが重要です。
サイバートラストでは、ウェブアプリケーションの脆弱性を診断するサービスとして、経済産業省 「情報セキュリティサービス基準」に適合した「Web アプリケーション診断サービス 」を提供しています。また、脆弱性を管理するため、最新の脆弱性対策情報データベース（CVE）との照合により、脆弱性管理情報の一元管理と脆弱なソフトウェア対策のタイムリーな対応を可能にする「MIRACLE Vul Hammer （ミラクル バル ハンマー）」を提供しています。

本記事に関連する製品

• Web アプリケーション脆弱性サービス
• Zabbix 連携の脆弱性管理ソリューション MIRACLE Vul Hammer

本記事に関連するリンク

• 脆弱性とは？　～ 脆弱性とそこに潜むリスク、その対策のやさしい解説
• NIST SP800-171 のセキュリティ要件と脆弱性管理