「Web アプリの脆弱性が増加傾向」と Cenzic が警告

先日からセキュリティ会議『Black Hat USA 2007』が開催中のため、セキュリティ関連ニュースが出る頻度と量が増えている。そんななか、セキュリティ分析会社 Cenzic は7月31日、『Application Security Trends Report』の第2四半期分を発表し、脆弱性のある Web アプリケーションが再び増加傾向にあると警告した。

Cenzic の最新レポートは、恐怖心を煽るありがちなビジネス手法にも思える。ところが、同社のマーケティング担当副社長 Mandeep Khera 氏は、これは単なる脅しではないと話す。

「それどころか、企業はこれまで以上に恐れる必要があると考えている。企業は、利用している Web アプリケーションから常に不正侵入される危険があることを知り、自覚しなければならない。Web の脆弱性が増加傾向にあることはただの前兆にすぎない。こと Web アプリケーションに関しては、インフラを保護できるようになるまでに、まだまだしなければならないことがある。今すぐ取りかからないと追いつかなくなる」と Khera 氏は語った。

Cenzic のレポートによると、2007年第2四半期に公表された個別の脆弱性は1484件にのぼったという。うち72％は Web 技術に関連したもので、第1四半期から7％増加している。そして、おそらくさらに憂慮すべきなのは、Cenzic がこれら Web の脆弱性の大半を簡単に悪用できるタイプに分類していることだ。

Web アプリケーションに対する攻撃は今後も増え続けると Cenzic は予測している。加えて企業は、法令遵守の問題と情報開示方針に基づき、攻撃を受けた事実をこれまで以上に公表せざるをえなくなると Khera 氏は述べた。

今後予想される攻撃の種類は、現在発生しているものと変わりないと Cenzic は予測する。具体的には、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF)、およびセッション管理の脆弱性を利用した攻撃などだ。Cenzic の最新レポートによると、Web アプリケーションの60％が XSS に対して脆弱性を持っていたという。対照的に、SQL インジェクションの攻撃に対して脆弱な Web アプリケーションは20％にすぎなかったとレポートは報告している。