攻撃が増えているのはネットワークだけではない。ウェブサイトに対する攻撃も増えている。ウェブアプリケーションに対する攻撃は、2015年第4四半期に比べ25.5%増加した。
以前はよくクロスサイトスクリプティング(XSS)攻撃が使われたが、現在ではあまり使われなくなった。最近HTTP経由の攻撃でよく使われているのは、SQLインジェクション(SQLi)とローカルファイルインクルージョン(FLI)で、それぞれ全体の47%、37%を占めている。HTTPS経由の攻撃では、LFIが38%と最も多く、SQLiは31%で2位となっている。信じられないかもしれないが、3番目に多いのは、かなり前に修正されたShellshockの脆弱性を使用した攻撃(20%強)だ。
SQLiとは、ウェブサイトのデータベースエンジンに送られるSQL文に、攻撃者が送り込んだSQL文が挿入され、問題がないか検証されないまま、直接実行されてしまうという攻撃だ。SQLiはOpen Web Application Security Project(OWASP)のウェブセキュリティ問題トップ10に10年以上にわたって挙げられているが、依然として悪用され続けている。これは解決可能な問題で、解決するには、ウェブ開発者がセキュリティチェックを行う処理を追加すれば済む。ところが、今でも忙しくてこれを怠るプログラマーが後を絶たない。
しかし、Shellshockの脆弱性が悪用されていることは、それ以上に問題だ。Shellshockに対するパッチが2014年の秋に公開されていることを考えれば、言い訳することはできない。
LFIも古いタイプの攻撃だが、未だに多くの企業が餌食になっている。この攻撃が成功すると、悪意を持ったユーザーが、ウェブサーバのローカルファイルに不正にアクセスすることが可能になる。
安全なはずのHTTPSで、なぜそれほど多くの攻撃が成功しているのか、不思議に思う人もいるだろう。その理由は単純で、HTTPSはユーザーとウェブサーバの間の通信を暗号化しているだけで、脆弱性が存在するアプリケーションを守ることはできないからだ。
ウェブアプリケーションに対する攻撃で最も被害を受けているのは、ゲームプレイヤーではなく小売業者で、全体の43%を占めている。2番目は宿泊および旅行業界で13%。3位以下には、金融サービス業界(12%)、ハイテク業界(9%)、メディアおよびエンターテインメント業界(7%)、公的部門(3%)、SaaS(サービスとしてのソフトウェア)業界(3%)、企業向けサービス(2%)と続く。
Akamaiは今後、「ゲーム業界に対する激しい攻撃は、競合他社に対する競争を有利に進めるために行われており、今後も続く」と予想している。ウェブサービスに関しては、攻撃者にとって潜在的な金銭的利益が大きいため、今後も引き続き小売業界が最も被害を受けると予想されている。Akamaiは、「攻撃手法には、今後もSQLiとLFIがよく利用されると思われる。これは、これらの脆弱性を発見する無料のオープンソースツールが豊富に出回っているためだ」と述べている。
企業がこのレポートから学ぶべき教訓は、今後ますますDDoS攻撃とウェブサービスに対する攻撃に対して守りを固める必要があるということだろう。攻撃の数が増えているだけでなく、攻撃者は以前よりも簡単に攻撃を仕掛けられるようになってきている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
