調查：日本企業/ 政府　網路資料不夠安全

根據日本研究機構NRI Security Technology所發布的最新調查，日本企業及政府的網站，其重要資料都很容易在網路上洩露。

NRI調查指出，有50%調查對象的網站，重要資料都可經由不當存取方式取得，與2004年的43%有增加的趨勢；79%的網站可能洩漏重要情報，現有資安對策無法維護自身網站安全的則佔21%。這份調查是在2005年4/1至今年3/31間針對日本企業以及公家機關進行各種網站資安問題對策服務的調查，結果於週一（7/24）公佈。

參與本年度資安調查的企業（上市上櫃公司）與公家機關共167個網站，比去年的101個網站成長1.6倍。由於2005年日本發生了多起不當連結事件，使得企業與公家機關不分業種規模，都紛紛開始注意到必須請專家來檢測網路資安的重要性。

不當連結案例的前三名與2004年調查結果相同，首先是相關認證不足所引起的身分詐騙。例如最常發生這類案例的購物網站，駭客可能利用「購買ID」取得其他使用者的資料。這種案例在近兩年內的調查中佔不當連結的三成以上。

其次則是以不當方式提升使用者權限到管理者層級，這個權限多半包含可瀏覽所有使用此網站的使用者個人資料，屬於不當連結中危險度較高的一種。NRI表示，2005年度這類案例比2004年度成長近兩倍。

最後一種則利用SQL Injection（資料隱碼）對資料庫進行不當操作，以不當方式取得資料庫中累積的資料，並且在伺服器上實行各種指令程式。2005年度此類案件在日本國內激增，有35%的網站系統都發現了這種漏洞，NRI表示這與近年來攻擊SQL資料庫的技術情報、工具在網路上易於取得有極高的關聯性。

上述三者都可鑽過系統漏洞騙過存取限制取得重要資料，NRI呼籲企業與公家機關必需定期請專家檢測自身的資安對策，並且加強資料庫與網站構築時的細部認證體制。（編譯/張志裕）