Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視

SQLインジェクションやクロスサイトスクリプティングなど、深刻な脆弱性が発見されたウェブサイトの半数は、開発時にセキュリティを意識していなかったことがわかった。

情報処理推進機構(IPA)とJPCERTコーディネーションセンターが、2008年第4四半期の脆弱性に関する届け出状況を取りまとめ、判明したもの。

届け出の累計は、受付開始から2008年第2四半期までの4年間で2300件だったが、その後急激に増加しており、2008年末には4300件まで規模が拡大。特に今回取りまとめた第4四半期における届け出件数は、ソフトウェア製品の60件、ウェブアプリ関連1430件のあわせて1490件と激増している。

こうした傾向は、2008年第3四半期ごろから「DNSキャッシュポイズニング」「SQLインジェクション」「クロスサイトスクリプティング」の増加が背景にあり、特に7月に判明したDNSキャッシュポイズニングの脆弱性の影響が大きかった。9月に283件の届け出があり、その後は減少傾向にあるものの、12月の時点でも126件と以前多数の届け出が寄せられている。

208年第4四半期のSQLインジェクションの脆弱性に関する届け出は49件。1年の動きを見ると、急増した3月の41件を除くと、2008年前半は届け出はひとけた台で推移したが、8月に再び増加。以降も30件弱から60件強で推移して2008年の累計届け出は263件となった。同機構によれば、1月26日の時点で202件が対策が完了せず取扱中となっているという。

さらにウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。

SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。

また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

(Security NEXT - 2009/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向
2017年後半に「コインマイナー」検出が急増 - 「Coinhive」の影響も
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査