脆弱性トップ25のリストで SQL インジェクションが首位に

情報セキュリティ研究機関 SANS Institute と MITRE は29日、毎年共同で発行している脆弱性リスト『CWE/SANS Top 25 Most Dangerous Software Errors』(CWE/SANS 最も危険なソフトウェア エラー トップ25) の2011年版を公開した。今回のリストでは必ずしも新しい傾向が浮き彫りになっているわけではなく、以前からある問題が依然として立ちはだかっていると、セキュリティ業界の多くの専門家は指摘している。

2011年版リストで第1位になったのは SQL インジェクションだ。最近相次いでいる情報流出について知っている人なら、特に驚くようなことではないだろう。

セキュリティ調査会社 Stach & Liu のマネージング パートナー Vincent Liu 氏は、取材に対し次のように述べた。「SQL インジェクションが今年1位になったという事実に誰もが注目しているようだが、個人的には意外ではない。SQL インジェクションは、Sony や InfraGard (FBI の関連組織) などを狙った最近の攻撃で悪用された脆弱性だ。だが、1位であろうと4位であろうと、また10位であろうと、SQL インジェクションはこれまで常に重大なデータ漏えいの主要な原因の1つだったし、今後何年にもわたってそうであり続けるだろう」

SQL インジェクションがリストの1位になったことを意外に思わないのは Liu 氏だけではない。前回の2010年版で SQL インジェクションは、首位のクロスサイト スクリプティング (CSS) に次ぐ2位に入っていた。とはいえ、今回 SQL インジェクションが1位になったことに関しては、間接的ながら次のような驚くべき事実もある。

Web アプリケーションの脆弱性管理を手がける Qualys でエンジニアリング リードを務める Mike Shema 氏は、取材に対し次のように述べている。「過去12か月の間にニュースになったハッキングのタイプを考えると、SQL インジェクションがリストの上位に挙がっているのは意外ではない。驚くべきなのは、少なくとも5年も前から SQL インジェクションへの対策はよく知られていて、有効で、Web アプリケーションで使われる主要プログラミング言語のすべてで利用できる状態にあるということだ」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール