Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPAら、2008年第2四半期の脆弱性届出状況を発表 - SQLインジェクションが長期間放置されるケースも

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2008年第2四半期における脆弱性の届け出状況を取りまとめた。就業日1日あたりの届け出件数は2.38件となり、受付開始以来最高を記録した。

同四半期にIPAへ寄せられた脆弱性の届け出件数は、ソフトウェアが69件、ウェブアプリケーションが208件だった。ソフトウェアに関しては、前期の53件から微増。ウェブアプリは過去最高を記録した前期の244件から減少したものの、最高でも100件強だった2007年以前から比べると非常に高い水準となっている。

届け出があったウェブアプリの脆弱性では、「クロスサイトスクリプティング」が68%で最も多く、次いで「ファイルの誤った公開」が18%、「SQLインジェクション」が4%だった。また、届出のあったサイトの運営主体内訳を見ると、71%が企業において見つかり、社団法人や協会などの団体(14%)や政府機関(7%)が続いた。

ソフトウェアの脆弱性については、「任意のスクリプトの実行」が48%ともっとも多く、「情報漏洩」の8%、「任意のコードの実行」「なりすまし」がいずれも7%だった。

同四半期において取扱いが終了したソフトウェアの脆弱性は23件で、累計は428件。ウェブサイトは185件で、累計は1225件になった。一方、ウェブサイトの脆弱性で90日以上対策が完了していないケースは28件増加し、累計で136件。また、300日以上完了していないものは13件増加し、累計で66件となった。

SQLインジェクションのように、深刻な被害をもたらす脆弱性でも修正が完了していないケースもあるという。特に4月ごろから、同脆弱性をねらった攻撃が多発しているとして、同機構では早期に対策を講じるよう呼びかけている。

(Security NEXT - 2008/07/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向
2017年後半に「コインマイナー」検出が急増 - 「Coinhive」の影響も
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査