企業サイトの7割でなりすまし、4割で個人情報漏洩の欠陥--ラックの調査 - (page 2)

　新メニューを緊急に追加したのは理由がある。ラックと同社独自の研究機関であるコンピュータセキュリティ研究所（CSL）は、同日5月24日に「ホームページからの情報漏洩に対する脅威の現状〜Webアプリケーションの脆弱性と脅威発生の実態をベースに」と題するレポートを発表した。

　これは、2004年に東証一部上場企業などの大手企業122社に対して実施したホームページ情報漏洩診断サービスの結果と、約200社へのセキュリティ監視結果、さらに実際に発生して調査を担当した数十件の個人情報漏洩事件などを元に分析したレポートだ。

　この調査結果では、「ショッピングや資料請求、セミナーの申し込みページなどの個人情報を入力するホームページの67％で他人になりすますことができ、同37％で個人情報が格納されているデータベースに侵入されてしまう欠陥がある」としている。

　2004年の10月頃からデータベースへ侵入を試みる件数も急増している（グラフ1）。この背景についてCSLは、「2004年10月頃に中国のホームページで個人情報を自動的に取得するプログラムが公開されたことが原因ではないか」とにらんでいる。また、検査結果からウェブアプリケーションに存在する脆弱性の内容を見ると、クロスサイトスクリプティングが全体の67％と非常に多い（グラフ2）。つまり、個人情報を扱うウェブサイトやプログラムの安全確保についての企業責任は一段と高まっているにもかかわらず、対策が徹底されていないというわけだ。まして、企業には個人情報の漏洩ばかりではなく、カカクコムのように業務停止にまで陥いるリスクもある。

グラフ1：データベース侵入の試み（SQLインジェクションイベント数の推移）

出典：ラック、コンピュータセキュリティ研究所「ホームページからの情報漏洩に対する脅威の現状」

グラフ2：ウェブアプリケーションの脆弱性の検出割合

出典：ラック、コンピュータセキュリティ研究所「ホームページからの情報漏洩に対する脅威の現状」

　CSLでは、「欠陥の放置が架空請求詐欺やフィッシング詐欺などの犯罪を助長させる」と指摘している。そして、「今後、国際的犯罪組織やテロリストがこういった手法を悪用して個人情報を大規模に入手し、彼らの資金源確保のために悪用される危険性もある」として、個人情報を取り扱っているウェブサイトの管理者に対して、個人情報の保護だけではなく、利用者の保護も考慮した対策を行うように注意を呼びかけている。

　その具体例として、銀行キャッシュカードのスキミング問題を挙げ、「当初は被害に関して利用者の責任とされていたが、その後銀行側で被害額の補償を含めて責任を負うように変わった。今後はインターネットでも利用者の保護対策の実施が求められるようになる」としている。