パスワードを忘れた? アカウント作成
Close
14930 story

2006年の侵入傾向分析レポート 15

ストーリー by mhatta
傾向と対策 部門より

JonMoo 曰く、

ITproの記事によれば、セキュリティベンダーのラックが2006年度の侵入傾向分析レポートを発表した。これは2006年中に同社が観測したインターネット上の攻撃をまとめたもの。レポートによれば、2006年度はSQLインジェクションが前年度に比べて7倍確認されたとのこと。また、2006年度の特徴として、これまでのような市販アプリケーションへの攻撃ではなくユーザー企業などが独自に作成したアプリケーションを狙う攻撃が増加し、全体のおよそ7割を占めたとのことである。独自のWebアプリがどんどん増える昨今、皆さんも注意しましょう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2006年の侵入傾向分析レポート More

  • アプリケーションを狙うって言っても、
    • XOOPS。XOOPS-JPプロジェクト版 [xoops.org]ならともかく、(簒奪)本家版は…といっても XOOPS-JP は Secure を目指しても、バックエンドに PHP の、しかも 4 系推奨じゃ、そっちが脆弱性出すからねぇ。PHP は入れたらアウトというか、「際限無い脆弱性発覚→パッチ適用」決定! って感じだし。覚悟して PHP 入れてる人間なんか居ないんじゃないの? 「判ってないから入れる」が大半のような。PHP って、元はセキュリティ考えないで作ったしね。
    • phpBB。これは特に「入れたら改竄されるのは覚悟だな」級の、重大脆弱性乱発モノ。
    • Wiki って、どの Wiki を指しているのか不明だけど、Wiki クローンは脆弱性を出してるのもあるね。まあ、コンテンツがブラウザから書けるという仕組みから、最初からセキュリティーを重視して開発された Wiki クローンでないと、動かすのは危なっかしいかな。
    後は、安直なパスワードで ssh とかも、ヤラれる常套パターンですね。(今どき FTP なんて、公開サーバーで動かしてるだけでアウトですけどね) ま、OpenSSH はリモートの脆弱性が発見されると速攻で狙われるけど、昨年は無事だったが。

    SQLインジェクションの脆弱性のあるサイトをスキャンするツールが出回っているというのは、肝に銘じておく必要がありますね。サイト運営者はヤラれる前にチェックして対策しないと。

  • そりゃそうだ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年03月20日 7時58分 (#1128661)
    プログラマの皆さんは聞く耳持たないですから。 もうセキュリティの「セ」を聞いただけで No! って感じ。 ネットのセキュリティは金にならない。 裁判所も認めたカカクコムメソッドがコスト最小だと判明してるから。

    • Re:そりゃそうだ (スコア:2, すばらしい洞察)

      by 127.0.0.1 (33105) on 2007年03月20日 9時16分 (#1128687) 日記
      /プログラマ/経営者/ の方がしっくり来ると思う。
      シェア
      親コメント

      • Re:そりゃそうだ (スコア:2, 興味深い)

        by Chiether (20555) <spamhere@chiether.net> on 2007年03月20日 10時37分 (#1128730) 日記
        いやいや
        /プログラマの皆さん/開発標準/ もしくは
        /プログラマの皆さん/現場/ だろう。

        経営者は無知。現場は無視。

        # 特に携帯コンテンツがひどいのはなんとかならんのか
        # サービスインの実績重視なのはわかるけどさ。
        --
        ==========================================
        投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
        シェア
        親コメント

        • Re:そりゃそうだ (スコア:0)

          by Anonymous Coward
          現場も無知でしょうね。
          そもそも知識があるなら少なくとも詳細設計に落とし込む所で既知の穴がある
          ような設計にはしないわけで。
          外部から指摘されても直し方が分からないから無視してるように見えるだけかと。

        • Re:そりゃそうだ (スコア:0)

          by Anonymous Coward
          上の人「とりあえず、作れ」
          作る人「セキュリティが、」
          上の人「べつにいいじゃん。やれ」

          ってな感じの会話ですな。

          # あれなので、AC
    • > プログラマの皆さんは聞く耳持たないですから。

      こう言う人が居るのはテスターに対する認識が低いからなんだろうなぁ・・・
      特に経営者。
      シェア
      親コメント

    • Re:そりゃそうだ (スコア:0)

      by Anonymous Coward
      >もうセキュリティの「セ」を聞いただけで No! って感じ。
      そんなプログラマの会社とはつきあいを止めた方が良いでしょう。

      プログラマは何をやらなければならないか分かっています。
      工数にそれが含まれない=予算と機能ありきの見積書を営業が作ってくるからです。
      納期(サービス開始日)だけががっちり決まってるから、現場は「動くこと」を第一に進めなきゃならない。

      テストやセキュリティ検査に人手も時間もかかるということを営業も客も分かってなさすぎ。客はSSLの証明書とベリサインのマークにはやたら拘るけど、そのくせ金払って証明書取ればそれで安全だくらいにしか思ってない。

      現場としては「たまにはこんなやっつけじゃなくて、ちゃんとしたもの作りてぇよ」と思ってるんですよ。

    • Re:そりゃそうだ (スコア:0)

      by Anonymous Coward
      そりゃあ、生活に支障が出るほどに仕事を詰め込まれれば手も抜きますって。

      今の生活が重要だから、取り合えずちゃっちゃと上げる。
      それで、将来の危険はメンテナンスを行う他の人がかぶるってくれるから無視。

      もし、仕事を依頼する側であるならば、きちんとその辺りの目的の違いを理解して置いて、テストするとかコーディング基準を作るなど考えなければいけないし、その辺り省かれそうで有ればリスクを説明する。
      現状への不満は誰でも言える。不満を言っておしまいじゃあねえ。

    • Re:そりゃそうだ (スコア:0)

      by Anonymous Coward
      大小各社渡り歩いた私から言わせてもらえば、
      いわゆるWebで商売している「ITベンチャー企業」はセキュリティは二の次。
      「そんなことどうでもいいから金になる仕事をしろ」みたいな感じで。
      一方、某著名ポータルサイトの元請になった会社でセキュリティ上の問題を指摘したら、
      ちゃんと直すことをリニューアル時の工程に含めてくれた。
      (問題の影響が大きく、また、元請の会社の上司が問題を認識し、客先に説明したからかもしれんが。)
      言える事は、開発現場と経営者の意識の問題。
  • IT分野にはUML、Servlet、Ajax...、一過性のITトレンドがあるけど、クラッキング手法にも少なからずそういうトレンドがあるような。

    ってことは、セキュリティ分野の商売は、一過性の特需が起こり易い分野ってことか。

    人の不安に付け込む商売(←人聞きが悪い)だから、「風が吹けば桶屋が儲かる」的な分析が効く。姉○建築士の事件で、構造計算事務所に特需が訪れたように、セキュリティ分野にも、そんな類の特需が訪れたり?

    でも、セキュリティ製品を販売する企業が、故意に(過剰に)社会不安を煽ったり仕掛けるのは、やっぱり駄目かも。

    --

    ---
    TaddyHatty - always @( posedge ↑ or negedge ↓ )
  • 中国からの攻撃が85%を占めているのですね。
    この分ならIPフィルタするだけで国内向けサービスは安泰なんじゃ;-)

    とはいえ、SQL Injectionは2001年ぐらいから危険性を指摘されていることもあり、
    攻撃が7倍に増えてはいますが実害には変化がなく空振りのようです。
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである