あしたまにあーな

Webサイトを構築している方は、外部から毎日のように受けるアタックへの対策に苦心していると思います。その発信元の多くが海外からのものなんですが、Webサイトの脆弱性をそのままにしておくと大切な個人情報が流出してしまったり、サイトが勝手に書き換えられてしまったりして大きな損害を被ることになってしまいます。

大きなWebサイト管理者は手を打っていることが多いのですが、中小のサイトでは未だに対策が講じられないままの状態も数多くあるのが現状です。

しかし、どこから手を付ければいいのかわからない、どんな攻撃が来るのかわからないという悩みもあると思います。対策を打つにはまず相手のことを知らないといけないのですが、情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）の報告によると、Webサイト関連の脆弱性について、3つで95%を占めるといおう結果が発表されました。つまり以下に挙げる3つの対策を打てば、最低限の対処を行うことができるということになります。

１．DNSキャッシュポイズニングの脆弱性が343件（42％）
２．クロスサイトスクリプティング（XSS）が 334件（41％）
３．SQLインジェクションが100件（12％）
　　（Webサイト関連の脆弱性821件中）

＜DNSキャッシュポイズニング＞
DNSとは、Webへのアクセスやメールの送受信などの時に接続相手のIPアドレスを調べたりする仕組みですが、DNS のキャッシュポイズニングとは、DNSが偽の応答を返すようにしてしまう攻撃手法のことです。これによって、インターネット利用者が偽のサイトにアクセスしてしまったり、送信情報を悪意のある人に盗み見られてしまったする危険性があります。

＜クロスサイトスクリプティング（XSS）＞
クロスサイトスクリプティングとは、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のことです。訪問者は自分のブラウザにそのようなコードが送られてきていることは分からないので、次にサイト上から入力情報が悪意のある人に送られてしまう等の危険もあります。

＜SQLインジェクション＞
検索フォームなどデータベースへの問い合わせや操作を行なうプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃のことです。個人情報の流出に直接結びつくので危険な攻撃といえます。

どれも、非常に有名な攻撃なので対策方法は様々なところで紹介されています。それを参考にまだ対策をとっていないところはすぐに実施したいものです。

一度落ちてしまった信用は簡単に修復できるものではありません。毎日仕掛けられる攻撃に対して対策をとっている・最善を尽くしているというのは、サイト管理者にとって利用者へ最低限の礼儀なのかもしれません。

【参考】ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0904/21/news057.html

SecureIIS Web 日本語版 (2001/11/30) Windows 商品詳細を見る