Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

長期間にわたり脆弱性未修整のサイトが増加傾向 - IPAらまとめ

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第1四半期の脆弱性に関する届け出情報を取りまとめ、公表した。SQLインジェクションをはじめとする深刻な脆弱性が年々増加しており、ウェブサイトにおける脆弱性の修正期間も長期化しているという。

2009年第1四半期の届出件数は、ソフトウェア製品に関するもの51件、ウェブサイトに関するもの825件だった。ウェブサイトの脆弱性については、急増した前四半期から減少となったものの、届出の増加傾向は年々深刻化している。

受付開始時から2008年第1四半期までの4年間では2045件だったが、その後の1年弱で3206件の届出があり、累計で5251件となった。また、1就業日あたりの届出件数は2006年には1.61件だったが、今四半期には4.55件にまで上昇した。

IPAによる脆弱性推移のグラフ
脆弱性関連情報の届出件数の四半期別推移(IPA)

こうした傾向の背景には、2008年第3四半期ごろからDNSキャッシュポイズニングおよびSQLインジェクションの届出が増加したことや、2008年第4四半期に一時的ながらもクロスサイトスクリプティングの届出が激増したことがあると指摘している。

特に2008年7月に公開されたDNSキャッシュポイズニングの脆弱性の影響が大きく、対策情報を公開した後も脆弱性を放置しているケースが多く見られるという。

届出があったウェブサイトの脆弱性の内訳を見ると、DNSキャッシュポイズニングの脆弱性が343件(42%)、クロスサイトスクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種で全体の95%を占めた。

なかでもSQLインジェクションは、前四半期の49件から倍増しており、サイト改ざんや情報漏洩など深刻な被害を引き起こすおそれがあることから、ウェブサイトの運営者に対し、脆弱性検査を実施し、問題が見つかった場合は早急に対策するよう呼びかけている。

またウェブサイトの脆弱性対策状況を見ると、90日以上対策が完了していないものは592件で、前四半期の258件から倍増。経過日数が90日から199日が369件、200日から299日が74件、300日から399日が65件となっており、1000日以上経過しているケースも15件ある。SQLインジェクションのように、深刻度の高い脆弱性も含まれていた。

090422ipa2.jpg
修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類(IPA)

(Security NEXT - 2009/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に
2018年1Qの重要インシデント、前四半期から2割減
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
セキュリティ自動化、ベンダー混在環境に課題
2018年2Qの「標的型攻撃メール」は43件 - 「CVE-2017-11882」の悪用目立つ
2018年2Qの脆弱性登録は3757件 - 上位8割がOS関連
2018年2Qの脆弱性届出は158件 - ソフトウェア関連が倍増
複数ポートで「Mirai」のアクセス増を観測 - ブロックチェーン「EOS」の秘密鍵狙う動きも
6月のマルウェア検出、3割弱減 - 「MS17-010」悪用が増加
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用