Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

長期間にわたり脆弱性未修整のサイトが増加傾向 - IPAらまとめ

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第1四半期の脆弱性に関する届け出情報を取りまとめ、公表した。SQLインジェクションをはじめとする深刻な脆弱性が年々増加しており、ウェブサイトにおける脆弱性の修正期間も長期化しているという。

2009年第1四半期の届出件数は、ソフトウェア製品に関するもの51件、ウェブサイトに関するもの825件だった。ウェブサイトの脆弱性については、急増した前四半期から減少となったものの、届出の増加傾向は年々深刻化している。

受付開始時から2008年第1四半期までの4年間では2045件だったが、その後の1年弱で3206件の届出があり、累計で5251件となった。また、1就業日あたりの届出件数は2006年には1.61件だったが、今四半期には4.55件にまで上昇した。

IPAによる脆弱性推移のグラフ
脆弱性関連情報の届出件数の四半期別推移(IPA)

こうした傾向の背景には、2008年第3四半期ごろからDNSキャッシュポイズニングおよびSQLインジェクションの届出が増加したことや、2008年第4四半期に一時的ながらもクロスサイトスクリプティングの届出が激増したことがあると指摘している。

特に2008年7月に公開されたDNSキャッシュポイズニングの脆弱性の影響が大きく、対策情報を公開した後も脆弱性を放置しているケースが多く見られるという。

届出があったウェブサイトの脆弱性の内訳を見ると、DNSキャッシュポイズニングの脆弱性が343件(42%)、クロスサイトスクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種で全体の95%を占めた。

なかでもSQLインジェクションは、前四半期の49件から倍増しており、サイト改ざんや情報漏洩など深刻な被害を引き起こすおそれがあることから、ウェブサイトの運営者に対し、脆弱性検査を実施し、問題が見つかった場合は早急に対策するよう呼びかけている。

またウェブサイトの脆弱性対策状況を見ると、90日以上対策が完了していないものは592件で、前四半期の258件から倍増。経過日数が90日から199日が369件、200日から299日が74件、300日から399日が65件となっており、1000日以上経過しているケースも15件ある。SQLインジェクションのように、深刻度の高い脆弱性も含まれていた。

090422ipa2.jpg
修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類(IPA)

(Security NEXT - 2009/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向
2017年後半に「コインマイナー」検出が急増 - 「Coinhive」の影響も
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査