IBM ISS X-Forceのレポートについて、別の記事。
こういう書き方をすると、恐ろしさが増すなあ。
こういう報告でBusinessWeek.comはよく引き合いに出されるけど、なぜAdobeや米国土安全保障省DHSの事件は出てこないんだろう。
国土安全保障省へのハッキングを巡りユニシスが矢面に : セキュリティ - Computerworld.jp同社管理の侵入検知システムに問題?――FBIも調査
ソフォス、Adobe Systems 社の Web サイト上に深刻な Web マルウェアを検知
と思って今検索してみたら、Adobeのニュースはぜんぜん出てこないなあ。ITproが1件あったけど。
なんでだろ。
マルウエアの次のターゲットは正規の Web サイト - japan.internet.com Webビジネス
知らない人から送られてきた Eメールを開くのはセキュリティ上の大きな禁止事項であることは誰もが知っている。だが、取引のある銀行の Web サイトを訪れるのはどうだろうか。あるいはよく読んでいるビジネス誌のサイトだったら? : 「特に Web アプリケーションの脆弱性が増しており、犯罪者がひそかにボットネット軍団を築くにあたって格好の標的となっている」と前出の報告書は指摘している。:
例えば BusinessWeek.com は2008年9月に攻撃を受け、数百にも及ぶページに SQL インジェクション攻撃を受け、Web サイトの背後にあるデータベースに悪意のあるコードを挿入された。BusinessWeek.com の事例では、コードは訪問するとマルウェアをダウンロードされる恐れがあるロシアの Web サイトにユーザーを誘導するというものだった。
:
2008年に明らかになった脆弱性のおよそ55%が既製の Web アプリケーションに関するもので、こうした Web アプリケーションに絡む脆弱性のうち74%は2008年末の時点でパッチが提供されていなかったと、同レポートは伝えている。
:
SQL インジェクションに対して脆弱な Web サイトへの攻撃は、1日平均で2008年前半には数千件程度だったが、2008年末になると数十万件規模に達したという。
Leave a comment