バグとセキュリティ対策


インターネットの安全性を脅かす要因の1つにボットネットワークがある。ボットネットワークとはマルウェアの一種で、PCに感染後は外部からの指令を受けて、迷惑メール送信やDDoS攻撃などの不正活動を行う。

Webアプリケーションの脆弱性がボットネットワークの構築に悪用されている。攻撃者は、脆弱性のあるWebサイトの内容を改ざんして、サイトを閲覧した利用者のPCをボットに感染させる。ボットネットワークに組み込まれたPCは、攻撃者の指令を受けて操作され、迷惑メール送信やDDoS攻撃に加担してしまう。

ボットを仕込むよう改ざんされたサーバー群とボットに感染したPC群は拡大していき、ネットワーク犯罪組織の収入源になっている。

インターネットに脆弱なWebサイトを公開することは、反社会的な勢力に荷担するのと同じことになってしまう。

脆弱性が生まれる原因として次の2種類がある。

1:バグによるもの

2:セキュリティ対策不足によるもの

SQLインジェクションやクロスサイト・スクリプティングはバグによるものとされ、ディレクトリ・トラバーサルはセキュリティ対策不足によるものとされる。

アプリケーションのセキュリティを確保するためには、バグをなくすだけでは不十分な場合がある。たとえば、通信路をHTTPSで暗号化していない状態では通信内容を盗聴される可能性がある。

セキュリティ対策をどこまで盛り込むかは、費用との兼ね合いでシステム発注者が決めることになる。

 


“バグとセキュリティ対策” への 1 件のフィードバック

  1. セキュリティは大事だと思います。
    でも、ソフトだよりで大きくは何もしていないと言うのが現実です。タブレットがメインになっている現状。セキュリティが薄くなっているというのが、最近の私の現状です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です