どんなネット被害があるの?

どんなネット被害があるの?

セキュリティインシデントの傾向

絶え間のないセキュリティ事件
【平成23年上半期のサイバー犯罪の検挙】
・不正アクセス禁止法違反は99件(前年同期比+14件、+16.%)
・ネットワーク利用詐欺は385件(−482件、−55.6%)

引用:警察庁広報資料 2011年9月8日


不正アクセス事件一覧:
情報セキュリティニュースサイト「Security NEXT」にて、セキュリティ業界の動向やセキュリティ関連のニュースをご覧いただけます。

セキュリティ事故と原因

最近のセキュリティ事故と原因

被害事例:サイト改ざんで閲覧者にウイルス感染の可能性

神奈川県観光協会が運営するウェブサイト「観光かながわNOW」が改ざんされ、閲覧者にウイルス感染のおそれがあることがわかった。
(中略)同協会では、ウェブサイトの復旧に向けて作業を進めるとともに、心当たりがある利用者に対し、ウイルスへ感染していないか確認するようアナウンスを行っている。

引用:Security NEXT(2012年6月4日)

被害事例:メール配信システム不備で誤送信発生、顧客情報が流出 - 一休マーケット

一休が運営するクーポン共同購入サイト「一休マーケット」においてメールの誤送信が発生し、顧客情報202件が流出したことがわかった。
(中略)同社では対象となる顧客に対し、個別に連絡を取っている。また修正については6月18日に完了している。

引用:Security NEXT(2012年6月22日)

WEB脆弱性関連情報の届出状況(2012年第1四半期(1月~3月))  引用:独立行政法人情報処理推進機構(2012年第1四半期)

NetChecker サービスの流れ

WEBサイトの脆弱性 種類別の届出状況  引用:独立行政法人情報処理推進機構(2012年第1四半期)

NetChecker サービスの流れ

WEBサイトへの脅威別の届出状況   引用:独立行政法人情報処理推進機構(2012年第1四半期)

NetChecker サービスの流れ

WEBアプリケーションの脆弱性の種類

  • SQL インジェクション
  • OS コマンド・インジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • セッション管理の不備
  • クロスサイト・スクリプティング
  • CSRF(クロスサイト・リクエスト・フォージェリ)
  • HTTP ヘッダ・インジェクション
  • メールの第三者中継
  • アクセス制御や認可制御の欠落