Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視

SQLインジェクションやクロスサイトスクリプティングなど、深刻な脆弱性が発見されたウェブサイトの半数は、開発時にセキュリティを意識していなかったことがわかった。

情報処理推進機構(IPA)とJPCERTコーディネーションセンターが、2008年第4四半期の脆弱性に関する届け出状況を取りまとめ、判明したもの。

届け出の累計は、受付開始から2008年第2四半期までの4年間で2300件だったが、その後急激に増加しており、2008年末には4300件まで規模が拡大。特に今回取りまとめた第4四半期における届け出件数は、ソフトウェア製品の60件、ウェブアプリ関連1430件のあわせて1490件と激増している。

こうした傾向は、2008年第3四半期ごろから「DNSキャッシュポイズニング」「SQLインジェクション」「クロスサイトスクリプティング」の増加が背景にあり、特に7月に判明したDNSキャッシュポイズニングの脆弱性の影響が大きかった。9月に283件の届け出があり、その後は減少傾向にあるものの、12月の時点でも126件と以前多数の届け出が寄せられている。

208年第4四半期のSQLインジェクションの脆弱性に関する届け出は49件。1年の動きを見ると、急増した3月の41件を除くと、2008年前半は届け出はひとけた台で推移したが、8月に再び増加。以降も30件弱から60件強で推移して2008年の累計届け出は263件となった。同機構によれば、1月26日の時点で202件が対策が完了せず取扱中となっているという。

さらにウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。

SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。

また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

(Security NEXT - 2009/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
ランサムウェアを6割が認知するも、4割強はバックアップ未実施
目立つ「HeartBleed」関連インシデント - ラック報告
2016年のモバイルセキュリティ市場は65億円 - 5年後には2倍に