NRIセキュアの調査、Webサイトの34%で、重要情報に不正にアクセスが可能

NRIセキュアテクノロジーズは、2008年度(2008年4月1日~2009年3月31日)1年間に実施した217のWebサイトのセキュリティ診断サービスの結果、Webサイトのセキュリティ対策の傾向の分析と、Webサイトが抱えている問題と企業が取り組むべきセキュリティ対策についてまとめた「Webサイトのセキュリティ診断:傾向分析レポート2009」を公開。

セキュリティ診断の調査結果と傾向

34%のWebサイトで、個人情報等の重要情報に不正アクセスが可能、42%のWebサイトで、情報漏洩に繋がる可能性を確認。
致命的な欠陥が発見されたWebサイトの割合は2007年度より7%減少の一方、情報漏洩の可能性あるWebサイト比率は増加、安全なサイトの割合は減少。
致命的欠陥が発見されたサイト減少の背景には、情報漏洩事件の多発、規模増大による企業危機意識からのセキュリティ対策強化の増加を示している。
一方、情報漏洩に繋がる可能性があるサイトの割合は増加傾向。

情報漏洩に直結する代表的な問題

重要情報に不正にアクセスできたケースは「なりすまし」、「権限昇格」、「SQLインジェクション」の3つの問題が比較的多く発見されているが、年々減少傾向。
一方、「クロスサイト・スクリプティング」は若干減少しているものの、依然50%以上のWeb サイトで発見されているがこれは、これまで致命的な情報漏洩事故の原因として報道されることが少なく、さほど対策が徹底できていない。

業務システムの多くに権限昇格の問題

「会員制サイト」、「お問い合わせサイト」、「業務システム」に分類してサイトのセキュリティ診断、業務システムでの問題に危険度が高いことが判明。自社関係者の限定ユーザのみのアクセス制限のため、不正アクセスのリスクを軽視、セキュリティ対策が十分でない。
更に、46%の業務システムにおいて「権限昇格」の問題が発見。ユーザの権限が上になるに従いアクセス可能な情報の重要度や範囲が拡大、「権限昇格」を悪用した不正アクセスを受けた場合、低権限のユーザによる不正アクセスでも、管理者のみがアクセス可能な機密情報まで漏洩してしまう可能性がある。

クレジットカードを取り扱うWebサイトの問題

クレジットカードを取り扱うWebサイトの37%で重要情報に不正にアクセスが可能。情報漏洩に繋がる可能性があるサイトの割合は52%、安全でが確認されたサイトはわずか11%。また、52%のWebサイトが暗号化しない状態でカード番号を保存していることが判明。