Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブの脆弱性対策が二極分化 - 27%に深刻な脆弱性

ウェブアプリケーションにおける脆弱性への対策状況が二極分化している。脆弱性が検知されないサイト数の割合は過去最高となる一方、深刻な脆弱性が存在しているウェブサイトが増加している。

ウェブアプリの脆弱性検査サービスを展開する三井物産セキュアディレクションが、2008年度に実施した検査結果の統計をレポートとして取りまとめたもの。レポートによれば、脆弱性が検知されなかった評価「S」のウェブサイトは、前回調査から7ポイント上昇して20%に達し、調査開始以来最高を記録した。

しかしながら、残りの約80%からはなんらかの脆弱性が発見されており、なかでも個人情報が大量に流出する可能性があるなど、5段階中2番目に深刻な「C」や最低ランクとなる「D」と診断されたサイトは前回調査まで減少傾向にあったが、今回は約27%と前回調査の約17%を大きく上回った。

090722ms.jpg
MBSDによる調査で発見された脆弱性の評価と年次推移。

検出率が高かった脆弱性としては、クロスサイトスクリプティングが55%でトップ。パラメータ操作の35%、クロスサイトリクエストフォージュリの33%が続いている。SQLインジェクションは19%で5位だった。

(Security NEXT - 2009/07/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

16.5%の企業がCSIRT設置 - 1001名以上では4割
「Office」数式エディタの脆弱性狙うマルウェア、一時大きく増加
2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
2018年3Q、脆弱性DBへの登録は3834件 - IPA
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に