1.攻撃の目的が金銭を得るための情報収集に

2006年に増加した攻撃内容は、SQLインジェクション、接続可能なリモートサーバへのブルートフォース攻撃、ボットの埋め込みである。これらの攻撃の主な目的は、データベース内の個人情報やサーバの認証情報などの情報収集および売買であると考えられる。2005年に比べて攻撃が不透明化している傾向があるため、これらの攻撃に狙われる脆弱性への対策のみでなく、これらの攻撃を検知するための対策も必要となる。

2.汎用性のある大規模な攻撃から、固有の脆弱性を狙った攻撃へ

2005年の侵入傾向とされる汎用性のある大規模な攻撃への対策が浸透し、その結果として2006年は独自に開発したアプリケーションや運用の不備などの固有の脆弱性を狙った攻撃が増加したと考えられる。そして、汎用性のある攻撃手法に比べ、固有の脆弱性を狙った攻撃は手間と時間がかかるため、攻撃対象の精査が行われ標的型の攻撃へと移行したと推測する。

3.攻撃対象の変化・不透明化により早期対応が困難に

独自に開発したアプリケーションの脆弱性を狙った攻撃への対策は、パッケージアプリケーションと比較して対応の遅れが危惧される。また、攻撃も目立ちにくいものに変化しつつあり、検知が難しくなっている。攻撃への対応の遅れは被害の拡大を招く恐れがあるため、これらの攻撃による被害を低減させるためにも、適切な対策の実施や早期対応が可能な環境を作り上げることが重要となる。

これらの傾向を踏まえ、全体の総括として以下の点を今後考慮する必要がある。

  • 設計段階からセキュリティを考慮したウェブアプリケーションの開発
  • 脅威への対応策だけではなく、脅威を早期発見できる仕組みを構築
  • 定期的なセキュリティ診断の実施などによる運用の不備の確認
  • インターネットからの通信に加え、外へ出て行く通信の管理も重要

冒頭にてRPGゲームと似ているとしたが、もちろん異なる点もある。セキュリティにはバラモスや神を一発で倒せるチェーンソーもなければMAXレベルもない。ゲームオーバーにならないためにも攻略本を片手に終わりのないレベル上げをして、手強い敵に立ち向かうしかない。