NRIセキュアテクノロジーズは2010年7月6日、企業の情報セキュリティに関する調査結果を発表した。企業が運営するWebサイトの36%には、不正にアクセスされるような重大な欠陥が存在するという。また、31%の企業システムでは、「ガンブラー攻撃」で使われるような、パスワードを盗むウイルスへの対策が不十分だった。
今回の調査対象は、同社のセキュリティ診断サービスなどを利用した企業・組織。診断サービスなどで得られたデータを集計し、企業システムが抱えているセキュリティ上の問題を分析した。調査期間は2009年4月1日から2010年3月31日。
Webサイトのセキュリティ状況については、調査対象となった企業サイト206件の36%に重大な欠陥が見つかったという(図1)。それらのサイトには、重要情報にアクセスできるような問題が見つかったため、危険度が「危険」に設定されている。具体的には、なりすましや権限昇格、SQLインジェクション、クロスサイトスクリプティングといった問題(脆弱性)が見つかった。
2005年度は「危険」なサイトの割合が5割だったが、その後減少。2008年度の調査では34%まで下がったが、2009年度には若干増加した。
リモートログインサービスの利用状況についても調査した。Web経由でウイルス(マルウエア)を感染させ、FTPなどのパスワードを盗むガンブラー攻撃が盛んなためだ。その結果、調査対象96件のうち31%の企業システムにおいて、ユーザーIDとパスワードさえ正しければ、Webサイトなどにリモートログインできる状況であることが明らかとなった(図2)。
つまりこれらの企業システムでは、ユーザーIDとパスワードをウイルスに盗まれると、Webサイトを改ざんされるなどの被害に遭う危険性がある。また、全体の22%ではリモートログインの通信を暗号化しておらず、11%はFTPサービスを公開していた。
ガンブラー攻撃で感染させられるウイルスの多くは、FTPサービスのユーザーIDとパスワードを盗む。しかしながら最近では、「FTP以外のリモートログインサービスのパスワードを盗むウイルスが確認されている」(ソリューション事業部セキュリティエンジニアの高梨素良氏)。
危ないのはFTPサービスだけではない。ユーザーID/パスワードによるリモートログインサービスを公開している企業すべてが、被害に遭う恐れがあるという。対策はアクセス制御の実施。ユーザーIDとパスワードだけではリモートログインできないようにする。
最新セキュリティ対策2010特設サイト 最新セキュリティ対策「最新手口」特設サイト
7年分168冊、約2万ページが1枚のDVDに!
日経パソコン読者には特価を適用!
パソコンはもちろん、プリンター、スマホ、
テレビもつないで、もっと便利に!
とにかく読みやすい入門書!
見やすい文書作りのコツを「実例」で学ぶ!
そもそもスマホって? 携帯と何が違うの?
も解説。買い方、使い方を分かりやすく紹介
パソコンを仕事と生活に活かす総合情報誌
・Vista/XPから脱出せよ
・「2012年型パソコン」を読み解く
・ビジネスプリンター購入ガイドほか
パソコン初心者応援マガジン
・写真とビデオをデジタル保存
・ウェブアルバムを使おう
・フェイスブック初めの一歩ほか
パワーユーザーのためのPC総合情報誌
・2012年版自作の疑問100
・旬のPCケース25製品レビュー
・Radeon HD7970を速攻テストほか
ビジネスマンのパソコン誌
・今すぐ始めるクラウド
・DVD&ブルーレイ活用術
・ネット&携帯電話 節約ガイドほか
「日経パソコン」のお申し込み、詳しい内容はコチラから
ニュース一覧を見る
10位まで表示
閉じる
もっと見る
