Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視

SQLインジェクションやクロスサイトスクリプティングなど、深刻な脆弱性が発見されたウェブサイトの半数は、開発時にセキュリティを意識していなかったことがわかった。

情報処理推進機構(IPA)とJPCERTコーディネーションセンターが、2008年第4四半期の脆弱性に関する届け出状況を取りまとめ、判明したもの。

届け出の累計は、受付開始から2008年第2四半期までの4年間で2300件だったが、その後急激に増加しており、2008年末には4300件まで規模が拡大。特に今回取りまとめた第4四半期における届け出件数は、ソフトウェア製品の60件、ウェブアプリ関連1430件のあわせて1490件と激増している。

こうした傾向は、2008年第3四半期ごろから「DNSキャッシュポイズニング」「SQLインジェクション」「クロスサイトスクリプティング」の増加が背景にあり、特に7月に判明したDNSキャッシュポイズニングの脆弱性の影響が大きかった。9月に283件の届け出があり、その後は減少傾向にあるものの、12月の時点でも126件と以前多数の届け出が寄せられている。

208年第4四半期のSQLインジェクションの脆弱性に関する届け出は49件。1年の動きを見ると、急増した3月の41件を除くと、2008年前半は届け出はひとけた台で推移したが、8月に再び増加。以降も30件弱から60件強で推移して2008年の累計届け出は263件となった。同機構によれば、1月26日の時点で202件が対策が完了せず取扱中となっているという。

さらにウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。

SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。

また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

(Security NEXT - 2009/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に
2018年1Qの重要インシデント、前四半期から2割減
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
セキュリティ自動化、ベンダー混在環境に課題
2018年2Qの「標的型攻撃メール」は43件 - 「CVE-2017-11882」の悪用目立つ
2018年2Qの脆弱性登録は3757件 - 上位8割がOS関連