セキュリティ情報

情報処理推進機構、Webサイトを狙った攻撃および被害の増加を報告、Webサイト管理者などへの注意喚起を発表

情報処理推進機構(IPA)は8月17日、Webサイトを狙った攻撃およびその被害が頻発していることを受け、Webサイト管理者などへの注意喚起文章を発表した。

発表された文章によると 近年、SQLインジェクション攻撃によるWebサイトの改ざんや不正コードの設置が多発しており、2008年5月に行った注意喚起に引き続き、今回も注意を喚起することとなった。

IPAの調査によると、SQLインジェクション検出ツールによる解析では、2009年4月の21件に対して7月は534件と、約25倍に相当する攻撃痕跡が検出されている。また、ディレクトリ・トラバーサルの脆弱性を狙った攻撃も継続しているという。

対策としては、SQLインジェクションやクロスサイト・スクリプティングなどについて、主に開発面から脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる保険的な対策が必要としており、またWebサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策などの必要性も説いている。IPAでは2008年6月に「安全なウェブサイトの作り方」(pdfファイル)を無償で公開しており、Webサイトの運営者に対して適切なセキュリティを考慮した実装を行うよう促している。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文