これだけある「脆弱性」　～本当に怖い攻撃

脆弱性の分類のその種類

IPAは、ソフトウェアの脆弱性とWebサイトの脆弱性、大きく2つに分けて報告しています。 この分類に従ってどのような脆弱性があるのかご紹介します。

出典：情報処理推進機構「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況 2016年第3四半期」
https://www.ipa.go.jp/files/000055191.pdf　　　

Webサイトに関する脆弱性の届出と影響の種類と割合

統計開始後から2016年9月までの累計9,149件（項目不備などの不受理を除く）のWebサイトに関する脆弱性の種類と割合は、以下の通りです。

●Webサイトに関する脆弱性の届出の種類と割合

• ・クロスサイト・スクリプティング　56%
• ・DNS情報の設定の不備　15%
• ・SQLインジェクション　11%
• ・ディレクトリ・トラバーサル　3%
• ・ファイルの誤った公開　2%
• ・HTTPSの不適切な利用　2%
• ・その他　11%

●Webサイトに関する影響の種類と割合

　　上記の脆弱性を攻撃された結果、生じた影響別の種類と割合です。
　　脆弱性を放置すると以下の影響が出る可能性が高くなります。

• ・本物サイト上への偽情報の表示　54%
• ・ドメイン情報の挿入　15%
• ・データの改ざん、消去　12%
• ・サーバ内ファイルの漏えい　4%
• ・個人情報の漏えい　3%
• ・Cookie情報の漏えい　2%
• ・なりすまし　2%
• ・その他　8%

ソフトウェアに関する脆弱性の届出と影響の種類と割合

統計開始後から2016年9月までの累計2,931件のソフトウェアに関する脆弱性の種類と割合は、以下の通りです。

●ソフトウェアに関する脆弱性の届出の種類と割合

• ・ウェブアプリケーションの脆弱性　61%
• ・ファイルのパス名、内容のチェックの不備　6%
• ・バッファのチェックの不備 3%
• ・仕様上の不備　3%
• ・証明書の検証に関する不備　3%
• ・アクセス制御の不備　2%
• ・その他実装上の不備　20%
• ・その他ウェブに関連する不備　2%

●ソフトウェアに関する脆弱性の届出のあったソフトウェアの種類と割合

• ・ウェブアプリケーションソフト　48%
• ・スマートデバイス向けアプリ　9%
• ・ルータ　7%
• ・アプリケーション開発・実行環境　5%
• ・グループウェア　5%
• ・ウェブブラウザ　4%
• ・OS　3%
• ・システム管理ソフト　2%
• ・情報家電　2%
• ・メールソフト　2%
• ・ファイル管理ソフト　2%
• ・その他(データベース、携帯など)　11%

●ソフトウェアに関する影響の種類と割合

　　上記の脆弱性を攻撃された結果、生じた影響別の種類と割合です。
　　脆弱性を放置すると以下の影響が出る可能性が高くなります。

• ・任意のスクリプトの実行　41%
• ・情報の漏洩　10%
• ・任意のコードの実行　8%
• ・なりすまし　8%
• ・任意のコマンドの実行　7%
• ・サービス不能　5%
• ・任意のファイルへのアクセス　4%
• ・データベースの不正操作　3%
• ・アクセス制限の回避　3%
• ・その他　11%

本当に怖い攻撃

近年このような脆弱性をつく攻撃の質が変化してきたと言われます。これまでは、脆弱性をついて侵入、攻撃するものの、システムを止めてしまう、勝手に書き換える、消してしまうなど、迷惑極まりないことであるものの、不特定多数を対象に困らせる、つまり、攻撃者、侵入者は、自分のスキルをひけらかすことで満足する「愉快犯」というものだったといえます。

この数年で増加しているものは、特定の対象を定め、執拗に侵入を試み、侵入後はシステムの裏側に隠れ、狙っている価値のある情報を見つけ、搾取するというもので「標的型攻撃」などと言われます。攻撃の目的が「技術の誇示」から「実質的な利益」に変化したといえます。

このような攻撃による被害は甚大なものになるケースもあり、脆弱性の放置は、攻撃者を助けるような行為といえます。この様な最新の攻撃にも対応するセキュリティ診断を利用して、脆弱性への対策を講じましょう。