Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブの脆弱性対策が二極分化 - 27%に深刻な脆弱性

ウェブアプリケーションにおける脆弱性への対策状況が二極分化している。脆弱性が検知されないサイト数の割合は過去最高となる一方、深刻な脆弱性が存在しているウェブサイトが増加している。

ウェブアプリの脆弱性検査サービスを展開する三井物産セキュアディレクションが、2008年度に実施した検査結果の統計をレポートとして取りまとめたもの。レポートによれば、脆弱性が検知されなかった評価「S」のウェブサイトは、前回調査から7ポイント上昇して20%に達し、調査開始以来最高を記録した。

しかしながら、残りの約80%からはなんらかの脆弱性が発見されており、なかでも個人情報が大量に流出する可能性があるなど、5段階中2番目に深刻な「C」や最低ランクとなる「D」と診断されたサイトは前回調査まで減少傾向にあったが、今回は約27%と前回調査の約17%を大きく上回った。

090722ms.jpg
MBSDによる調査で発見された脆弱性の評価と年次推移。

検出率が高かった脆弱性としては、クロスサイトスクリプティングが55%でトップ。パラメータ操作の35%、クロスサイトリクエストフォージュリの33%が続いている。SQLインジェクションは19%で5位だった。

(Security NEXT - 2009/07/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
主要50脆弱性、34%は開示日にエクスプロイトが公開 - 76%で攻撃者が防御側を先行
「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向