IPAに2006 年9月までに届けられた脆弱性報告は累計で1000件を超えている。また、Webアプリケーション（Webサイト）の脆弱性については四半期に100件近く届出されている。ソフトウェア製品の脆弱性の製品種類別では、41%と圧倒的にWebアプリケーションソフトが占めており、Web関連の脆弱性が一際目立っている（図表5）。

Webアプリケーションの脆弱性についてみると、41%とクロスサイトスクリプティングが圧倒的に多く、SQL（Structured Query Language）インジェクションが23%と続いており、この2つの脆弱性で脆弱性の約3分の2を占めている(図表6)。これらは、どちらもWebアプリケーションプログラムの瑕疵（ミス）から発生する脆弱性であり、入力フォームなどが脆弱点となっている。したがって、1つのWebサイトに多くの同様の脆弱性が存在していることも珍しくない。

これらの脆弱性を突いて不正アクセスを行うことにより、ページの書き換えやデータの改ざん、サーバー内データの漏洩などやシステムの破壊といった脅威が発現することとなる。

Webアプリケーションに対する代表的な攻撃手法として、

• SQLインジェクション攻撃
• クロスサイトスクリプティング（XSS）

について簡単に説明する。

多くのWebサーバーは、データベースとの通信にSQLと呼ばれる言語を使用している。データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にデータベースへの命令文を組み立てている。攻撃者は、Webアプリケーションと連動しているデータベースへ問い合わせを行うパラメータとして、不正なSQL文を与えることにより、データベースの情報を改ざんしたり、情報を不正に引き出すことを試みる。この攻撃手法のことを「SQLインジェクション」という。図表7にSQLインジェクションの概要を示す。

SQLインジェクションは、データベースを利用するWebアプリケーションを設置しているWebサイトに存在しうる問題であり、個人情報をデータベースに格納している場合は特に注意が必要である。SQLインジェクションによるセキュリティ事故の例としては、Webサイトから約60万人分の個人情報が奪われた事例や、ある情報サイトからメールアドレスなど約2万件の個人情報が奪われた事例などがある。

利用者からの入力情報をそのまま表示するWebページ（個人情報登録時の確認画面や掲示板など）は、意図しないHTMLやJavaスクリプトをブラウザ上で表示（あるいは実行）しないよう、処理を施してから送信しなければならない。もし、直接利用者のブラウザにHTMLやJavaスクリプトが送信され表示（あるいは実行）された場合、利用者のブラウザ上で予期しない動作を引き起こす可能性がある。
  これを利用し、攻撃者が悪意のあるスクリプトを直接埋め込んで実行させるほかに、利用者に認識のないまま、悪意のあるスクリプトを実行させるよう仕向けることも可能なことから、クロスサイト（サイトをまたがって）スクリプティングという名前が付いている。図表8にクロスサイトスクリプティングの概要を示す。

  クロスサイトスクリプティング脆弱性により、以下の攻撃を攻撃者に許してしまう。

• 攻撃者の意図したページを表示することによる偽情報の流布や、フィッシングサイトへの誘導
• ブラウザが保存しているCookieを取得することによる、正規利用者へのなりすましや情報漏洩
• 利用者のブラウザに対し任意のセッションIDを保存させられることによる「セッションID固定化 ²」

クロスサイトスクリプティング脆弱性を持つWebサーバー自体は被害を受けることがないため、Webサイトを公開している企業にとっては直接的な脅威とはならないものの、攻撃者による攻撃を仲介することとなるため、Webサイトを公開する企業は、公開しているコンテンツやウェブアプリケーションにクロスサイトスクリプティング脆弱性がないことを確認し、存在する場合は適切な対処をすることが必要である。

SQLインジェクションにより、発生しうるリスクとして次のものがあげられる。

• データベースに蓄積された非公開情報が閲覧されてしまうことによる、情報漏えい
• データベースに蓄積された情報の改ざんや消去
• Webページの改ざん
• ユーザーIDやパスワードが漏洩することによる不正アクセスの助長
• 認証回避による不正ログイン

また、クロスサイトスクリプティング脆弱性を放置した状態で、万が一攻撃者に悪用され利用者に被害が出た場合は、損害賠償責任を問われる可能性があるため注意が必要である。

Webサーバーへのアクセスを不可能にする攻撃として、DoS(Denial of Service)攻撃がある。DoS攻撃とは、サーバーに大量のデータを送信して、多大な負荷をかけ、サーバーのパフォーマンスを極端に低下させたり、サーバーの脆弱性を突いてサーバーを機能停止に追い込んだりする攻撃をいう。様々な攻撃手法があるが、公開WebサーバーへのDoS攻撃としては「DDoS攻撃」があげられる。公開Webサーバーに対して大量のHTTP要求を世界中から分散して送りつけることにより、公開Webサーバーのパフォーマンスが極端に低下したり、サーバーがダウンしたりして、正規の処理が滞る可能性がある。
  その他にも「オクトパス攻撃」と呼ばれる攻撃手法がある。公開Webサーバーが張ることのできるHTTPセッション数以上にHTTPセッションを張ると、公開Webサーバーは他のHTTP要求に対しHTTPセッションを張ることができず、サービス不能状態となる。

DoS攻撃により、公開Webサイトがサービス不能になるため、利用者や取引先などに対し影響を与えることになる。電子商取引サイトを運営している場合は、売り上げにも影響してくる可能性がある。

Webサイトの乗っ取りとは、攻撃者が正規の企業のWebサイトを偽装したWebサイトを公開し、利用者があたかも正規の企業のWebサイトにアクセスしているかのように装うことをいう。この偽装Webサイト上で利用者の個人情報やID/パスワードを入力させることにより、これらの情報を搾取することが攻撃者の狙いである。この偽装Webサイトに誘導させるための攻撃として「フィッシング」や「DNSスプーフィング」がある。
   「フィッシング」とは、金融機関等からの電子メールを装い、電子メールの受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて個人の金融情報（クレジットカード番号、ID、パスワード等）を入力させるなどして、個人情報を不正に入手する詐欺的な行為である。さらには、クライアントPC上のシステム設定ファイルを不正に改ざんすることで、偽装Web サイトへ誘導する「ファーミング（Pharming）」と呼ばれる攻撃手法も存在する。
   また、Webサイトを乗っ取るための別の方法として、DNSサーバーに対し偽装サイトへ誘導するための偽のDNS情報を流すことにより、DNSの問い合わせに対する回答をだます「DNSスプーフィング」「ドメインの乗っ取り」と呼ばれる方法が存在する。通常、これらを実現するために、「DNSキャッシュポイズニング ¹」と呼ばれる攻撃手法が存在する。これについては、IPAから注意喚起を促している。

ドメイン名の登録とDNSサーバの設定に関する注意喚起
http://www.ipa.go.jp/security/vuln/20050627_dns.html

Webサイトが乗っ取られることにより、偽装されたWebサイトへアクセスしてしまった利用者に影響が及ぶ。利用者が疑うことなくIDやパスワード、クレジットカード番号を入力してしまった場合は、攻撃者に情報が漏洩してしまうが、これが明るみになった場合に、風評的な被害を受ける可能性がある。

インターネットの普及に伴い、一般消費者向けの電子商取引サービスが急激に増加してきている。電子商取引は、直接商品や支払いのやり取りを行わない相手の見えない取引であるため、通常の取引よりもトラブルが生じやすい環境にあり、明らかな詐欺行為や、金額の入力ミスによる被害などの、電子商取引特有の問題が顕在化してきている。
  また、電子商取引が進むに従い、企業側が公開Webサーバーを通じて顧客の情報を収集する機会が増えている。平成17年4月から全面施行された「個人情報の保護に関する法律（個人情報保護法）」では、顧客のプライバシーに関連する個人情報の取扱いについて規定している。

電子商取引サイトを運営する企業にとっては、自社のサイトの作りに問題があることで顧客に対し損害を与えてしまった場合、損害賠償などにつながる可能性がある。状況によっては風評被害に発展するおそれもある。また、個人情報保護法などの法律を遵守しないで個人情報を取得した場合は、行政処分を受けることもありうる。

公開Webサーバー上で電子商取引サイトを立ち上げている場合は、利用者に対しIDやパスワード、場合によってはクレジットカード番号を入力することを要求するであろう。盗聴される可能性がある場所は、その難易度こそあるものの通信経路中のいたるところにある。

HTTPは平文による通信であるため、通信が盗聴された場合にこれらの情報が漏洩するおそれがある。利用者に対し、個人情報やID/パスワードの入力を要求する場合や、利用者に関する重要な情報（個人情報など）をサーバーから送信する場合は、平文で通信することは避けなければならない。