主な攻撃手法は「SQLインジェクション」　EGセキュアソリューションズ調査

イー・ガーディアン株式会社のグループ会社であるEGセキュアソリューションズ株式会社（所在地：東京都港区、代表取締役：高谷康久）は、開発・提供するクラウド型WAF「SiteGuard Cloud Edition」で2025年第2四半期（2025年4月1日～6月30日）に検出された攻撃を分析した「SiteGuard セキュリティレポート（2025.2Q）」を発表した。2025年第2四半期における「攻撃種別」「月別」「接続元（国別）」「サイトジャンル毎の検出数と攻撃種別」「同一接続元IPアドレスによる複数サイトへの攻撃アクセス」の5つの観点での攻撃傾向について詳しく解説している。

集計条件

・SiteGuard Cloud Editionの検出情報をもとに集計
・検出名や分類は、SiteGuard Cloud Editionによる検出情報をもとにした表記
・対象サービスの利用者によるセキュリティ診断等のアクセスが集計対象に含まれている場合がある
・不正ログインの試行（ログインの失敗）のほか、ウェブ以外の不正アクセス（スパムメールやマルウェア等）の情報は含まれていない
出典元：SiteGuard セキュリティレポート（EGセキュアソリューションズ株式会社）

SQLインジェクションが6割超、ECサイトへの攻撃比率が最多

本調査結果によると集計期間中の傾向としてWebアプリケーションの脆弱性を利用して攻撃する「SQLインジェクションの検出」が全体の64.5％を占めており、主な手法となっていることがわかる。

攻撃されているサイトジャンルは「ECサイト」を筆頭に、製造業、公共機関、サービス業と続く。ECサイトにおいては、同手法による攻撃が85%以上を占めていることから、継続的に狙われやすい傾向にあるといえるだろう。攻撃数はこの数カ月間、月を追うごとに増加傾向にある。4月を基準とした場合、5月は約1.5倍、6月には1.7倍と増加している。

今回のレポートから新たに加わった「サイトジャンル」ごとの統計では、検出数、攻撃比率とも、トップはECサイトであったことも判明。2位の製造業と比較しても、その差は約2倍と突出して高い状況にあるようだ。

また、セキュリティ研究所所長の直岡克起氏は、攻撃種別の分類で2番目に多い数値を示した「リクエストURLチェック」に注目。この攻撃は、Webサイトで通常公開されることのないファイルを取得しようとするものだという。意図的に公開していなくても、設定ミスやトラバーサル等の脆弱性によって取得可能な状態になっている場合があるとして、注意を促した。公開を意図していないファイルが公開状態になっていると、情報漏洩やシステムへの不正アクセスにつながるという。

まとめ

本調査では、Webアプリケーションの脆弱性を利用して攻撃するSQLインジェクションが、依然として主要な攻撃手法であることが明らかになった。中でもECサイトは本手法での攻撃比率が高く、サイトジャンル別でも狙われやすい傾向にあることから、セキュリティ対策の充実がより必要だと考えられる。

独立行政法人情報処理推進機構では、安全なウェブサイトの作り方や、脆弱性体験学習ツールなどを公開している。こちらも併せて参考にしていただきたい。

参考：脆弱性対策情報（独立行政法人情報処理推進機構）