悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。
また、記事に対するコメントや追加情報を投稿することが出来ます。
調査したのはNRIセキュアテクノロジーズ(東京)。調査対象は、同社に自社サイトの診断を依頼した55社と1官公庁が運営する計167サイト。このうち9割弱は東証1部上場企業かその子会社が運営している。
「ハッカー」役を担当した調査員は、情報セキュリティー分野で実績がある米研究機関で企業側のシステム防衛策について研修し、さらにシステム侵入調査で2年以上の経験がある。昨年4月から今年3月にかけてハッカーのような手口で各サイトに侵入を試みた。
この結果、顧客の氏名や住所、連絡先、クレジットカード番号などの重要情報を不正取得できたサイトは50%にのぼった。1年前に101サイトを調査した際(43%)より悪化し、情報漏洩につながる可能性があるサイトも29%あった。
データベースに命令できる「SQL」という特殊な言語でサイト運営者のデータベースに接続し、重要情報を取得したり改ざんしたりできたサイトが35%あった。また、別の利用者のふりをして他人の個人情報にアクセスする「なりすまし」が通用したのが30%、サイト管理画面に不正アクセスできたのが22%だった。URL(アドレス)を少し改変するだけで簡単に他人の個人情報を見られるなど、初歩的な欠陥もあった。
対策としては、データベースに接続できる権限を細かく設定することやデータの暗号化に加え、不正利用を早期に発見するために過去のアクセス履歴を表示することなどが挙げられるという。