ウェブサービスを提供するソフトウェアは、以下の2種に分類することができるだろう。

  • ソフトウェアベンダーが公開・発売しているパッケージアプリケーション
  • サービス提供者が独自に開発したアプリケーション

2005年の攻撃傾向では、上記アプリケーションの脆弱性を狙った攻撃の割合は同程度であった。これに対し、2006年ではパッケージアプリケーションの脆弱性を狙った攻撃の割合が減少し、独自に作成されたアプリケーションの脆弱性を狙った攻撃の割合が約1.5倍に増加した。これは、ウェブサービスを攻撃する対象が、パッケージアプリケーションから独自に開発したアプリケーションへ移行していることを示しているという。

パッケージアプリケーションの脆弱性を狙った攻撃が減少した原因として、それ自体の脆弱性が修正され、かつ、その利用者によるアプリケーションのバージョンアップやパッチの適用といった対処が一般的に浸透してきたことを挙げている。

一方、独自に開発したアプリケーションは、脆弱性を含んでしまっていないかどうか調査・修正が要求されるため、コストや時間が必要となる。そのため、パッケージアプリケーションへの対応に比べ、脆弱性の特定や攻撃の早期発見が困難となり、対策が遅れがちになる。これらが攻撃者により標的とされ、攻撃が急増したと原因であるという。

2005年から2006年にかけてのウェブサービスへの攻撃傾向の変化
出典: 侵入傾向分析レポート vol.8 -2006年サマリ-

加えて、独自に開発したアプリケーションの脆弱性を狙った攻撃では、SQLインジェクションが最も多く、全攻撃件数の約50%を占めているという。これは2005年と比較すると約7倍の数字とされる。中でも、2006年の2月と12月に攻撃の急増がみられるとしており、その原因としてSQLインジェクションを目的とした攻撃ツールがインターネット上で公開され、従来以上に脆弱なサイトの発見や攻撃が実現可能となったためと推測している。

また、SQLインジェクションの攻撃元IPアドレスによる国別分類をした結果、2005年と同様に中国が全体の8割以上を占め、次いで米国、韓国という順であった。中国からの攻撃が多い原因として、複数の中国語のサイトにて高性能な攻撃ツールが配布されていることを挙げている。

2005年2月から2006年12月までのSQLインジェクションの攻撃件数
出典: 侵入傾向分析レポート vol.8 -2006年サマリ-

パッケージアプリケーションの脆弱性を狙った攻撃では、2005年下半期から2006年の年始にかけてボットによる攻撃が増加していたという。ボットによる攻撃は、ウェブアプリケーションの脆弱性を悪用し、外部にある攻撃者のウェブサーバから不正なプログラム(ボットなど)をダウンロードして実行させる手法が大半を占めているとされる。

しかし、パッケージアプリケーションの脆弱性を狙ったボットの攻撃件数は、2006年4月以降減少した。この原因として、ボットに感染したホスト数自体の減少による攻撃元の減少や、感染手法として検知されやすいものは使用しなくなる傾向にあったと推測している。

パッケージアプリケーションの脆弱性を悪用した攻撃の例
出典: 侵入傾向分析レポート vol.8 -2006年サマリ-

これらウェブサービスへの攻撃対策としては、WAF(Web Application Firewall)やIPSの導入によりブロック・検知するなどの他に、それぞれのアプリケーションごとに異なる対策を実施する必要があるという。

具体的には、独自に開発したアプリケーションを狙った攻撃に対しては、運用における対策だけでなく、脆弱なアプリケーションを作成しないための方策も必要となる。そのため、以下の対策を実施することにより、アプリケーション自体のセキュリティを確保・維持することを推奨している。

  • 設計段階からセキュリティを考慮した開発を行う
  • 開発したアプリケーションに脆弱性があるかを確認する
  • 攻撃・被害を受けていないか定期的に確認する

また、パッケージアプリケーションを利用する際には以下の対策を実施し、ボットなどに感染した場合の感染拡大を防止することを推奨している。

  • アプリケーションの最新の脆弱性情報を定期的に確認する
  • ウェブサーバからインターネットへの通信を必要最小限に制限する
  • 公開ウェブサーバから不審な通信が発生していないか監視する