こんにちわ。とおるちゃんです。

ご無沙汰しております。
相変わらず技術ネタですが、周辺でこのテの話が多いので時事的に一つ。

どんどん激化するサイバー攻撃の中で最近特に多いのが、
Web サイトへのアクセスを起点とした、「DBD 攻撃」です。

DBD 攻撃では企業や一般の Web サイトを
閲覧するだけで不正プログラムに感染してしまうため、
目に見える実害がなければ（実際そうしたケースが大半）、
被害を受けた本人すら気付かないことが問題です。

実際の挙動の流れは以下。

　１　種々の手法で、正規 Web サイトを改ざんする
　２　ユーザーが改ざんされた Web サイトを閲覧
　３　不正なWebサイトへ誘導される（リダイレクト）
　４　脆弱性を悪用し、ユーザーのPCにウイルスをダウンロード
　５　さらに、トロイの木馬などのウイルスをダウンロード
　６　PC内の個人情報などが流出

DBD 攻撃で実行犯となるのは JavaScript 。
アプリケーションへ埋め込まれたスクリプトと
それに伴うプログラム、ブラウザの脆弱性を利用する手法です。

対策としては予防、検疫、駆除をこまめに行うことしかないですが、
その前に運用するユーザーの IT リテラシーを上げることが先決でしょう。

前々回も紹介しましたが、
SQL インジェクションもここ５年ほど多く発生しています。
これはいい加減撲滅されて然るべき問題と思いますが、
相変わらず多く発生しています。

原因は DBD 攻撃の例と同じく Web アプリケーションが脆弱であるためですが、
それ以上に問題なのが、セキュリティホールがあることを
認識しないまま使用するユーザーとそれを提案する提供者。
現在では純粋なシステム開発業者だけではなく
様々な業態の企業が Web システムを提供していますが、
長いスパンで考えたコスパ（この略し方どうなのよ）やリスクを
正しく算出できている企業は非常に少ないです。

見た目や提案、訴求力と同様に
技術的に裏打ちされた総合的な企業力を併せ持つことが重要ですね。