ハッカー集団LulzSecは最近、ソニー、米国上院、アリゾナ州公安局、そしてPBSに対する強奪的なデータ侵害で話題をさらった。しかし、国土安全保障省が後援した新たな報告書によると、このような攻撃は多くの場合回避可能であることが判明した。
毎年恒例のCWE(共通脆弱性評価)/SANS「最も危険なソフトウェアエラー トップ25」では、ソフトウェアメーカーや大規模IT組織が直面する最大の脅威とその回避方法について解説しています。各脅威は、その蔓延度、重要度、そして攻撃者がその脆弱性を悪用しようとする可能性に基づいて評価・格付けされています。
今年のリストの上位を占めるのは、SQLインジェクション、典型的なバッファオーバーフロー、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、機密データの暗号化の失敗といった脅威です。これらの脅威に聞き覚えがある方は、今年、企業サーバー上のデータを窃取するために、これらのエクスプロイトがいくつか使用されたためです。2011年のCWEレポートはこちらをご覧ください。また、今年のソフトウェア脅威トップ25のハイライトをいくつかご紹介します。
SQLインジェクション
SQLインジェクションはハッカーの間で最も頻繁に使用される手口であり、2011年のCWEレポートではオンラインネットワークが直面する最大の脅威としてトップにランクされました。「データ量の多いソフトウェアアプリケーションにとって、SQLインジェクションは王国への鍵を盗む手段となる」とレポートは述べています。基本的な考え方は、ハッカーが名前や住所などを入力するオンラインフォームにコードを挿入することです。この脆弱性を悪用するための適切な予防措置が講じられなければ、ハッカーはデータベース全体をダウンロード、破損、または改ざんする可能性があります。レポートによると、ハッカーは「必要であれば、1バイトずつデータを盗む」ことさえあります。
SQLインジェクションは、LulzSecによるソニー・ピクチャーズとPBSへのハッキングや、Anonymousによるセキュリティ企業HBGary Federalのネットワークへの侵入など、多くの注目を集めた攻撃の原因となりました。このハッキングは、OracleのMYSQL.comへの侵入にも使用されました。
ソニー・ピクチャーズへのハッキング後、LulzSec は SQL インジェクションを「最も原始的かつ一般的な脆弱性の 1 つ」と呼びました。
承認がありません
認証の欠如により、ハッカーはソフトウェアを操作し、本来アクセスできないはずのデータにアクセスできるようになります。この脆弱性は、5月初旬にシティグループに対して使用され、ハッカーは20万人以上のユーザーの銀行口座の情報を盗んだと報告書は述べています。ハッカーたちはどのようにしてそれを実行したのでしょうか?報告書によると、「URL内のフィールドに存在する」個人口座情報を変更したとのことです。つまり、ハッカーがwww.randombank.com/user/account/123456にアクセスした後、URLをwww.randombank.com/user/account/789012に変更するだけで、別の口座にアクセスできたということです。
機密データの暗号化が欠落している
企業や組織が悪意のある人物による侵入を容易にしているだけでも十分問題ですが、アカウントのパスワードなどの重要なデータが暗号化されていない状態で保存されている場合は、さらに事態は悪化します。LulzSecはアクセスに成功し、その後、様々なデータベースから盗み出した62,000件以上のプレーンテキストパスワードを公開しました。
脅威はたくさんある
2011年のソフトウェアにおける最大の脅威について知りたいセキュリティファンにとって、このレポートはより詳細な情報を提供しています。例えば、イランの核施設を機能停止させたStuxnetワームが、ハードコーディングを用いてコンピュータシステムに大混乱をもたらした経緯についても解説しています。コンピュータセキュリティに少しでも関心があるなら、CWEレポートは一読する価値があります。
最新の技術ニュースと分析については、Twitter でIan Paul ( @ianpaul ) および Today@PCWorld をフォローしてください。
