ここ数年、Webアプリケーションの数は急増しました。一般ユーザーにとっては嬉しいニュースですが、新しい標的が事実上、無限に手に入ることとなった攻撃者にとっても最高のニュースと言えます。新たに発表された調査でも、Webアプリケーションは平均で3日に1回は攻撃されており、一部は年間最大2,700回も攻撃されていることが分かりました。
Web アプリケーションがハッカーの攻撃を受けやすい理由として、これらアプリケーションが公開されており、入力個所の多いことが挙げられます。Webセキュリティ会社のImperva社が発表した調査結果によると、Webアプリケーションの一般的な攻撃手法はSQLインジェクションでした。これは、世界中のハッカーが利用する実証済みのツールで、多くのWebアプリケーションに内在する、よくあるプログラミングエラーを悪用します。SQL(Structured Query Language)は、データベースでデータを管理するためのプログラミング言語です。SQLインジェクションは、今年初め Yahoo社のYahoo! Voicesサイトから453,000のパスワードが漏えいした事件で利用されたものです。
Imperva社は、6か月間の調査期間で50のWebアプリケーションを監視しました。その結果、Webアプリケーションは約3日に1回の攻撃を受けており、一部は年間最大292日も標的にされるほか、1日に複数回の攻撃を受けることも珍しくないことが判明しました。平均的な攻撃は8分以下でしたが、Imperva社が観測した中で最長の攻撃時間はほぼ80分間も継続したと書かれています。
攻撃は不規則かつ予測不可能であることから、平均的な攻撃にただ備えるのではなく、最悪の攻撃シナリオに耐えうるセキュリティ体制を設計すべきとImperva社は結論づけています。
「防御側が平均的な事案への対策しかしていなかった場合、1つの攻撃で数百または数千ものリクエストが実行される中で、攻撃の集中砲火を受ければあっさり突破されてしまうでしょう(以前の調査では1時間あたり27または18の攻撃を観測)」(論文より抜粋)。