Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブの脆弱性対策が二極分化 - 27%に深刻な脆弱性

ウェブアプリケーションにおける脆弱性への対策状況が二極分化している。脆弱性が検知されないサイト数の割合は過去最高となる一方、深刻な脆弱性が存在しているウェブサイトが増加している。

ウェブアプリの脆弱性検査サービスを展開する三井物産セキュアディレクションが、2008年度に実施した検査結果の統計をレポートとして取りまとめたもの。レポートによれば、脆弱性が検知されなかった評価「S」のウェブサイトは、前回調査から7ポイント上昇して20%に達し、調査開始以来最高を記録した。

しかしながら、残りの約80%からはなんらかの脆弱性が発見されており、なかでも個人情報が大量に流出する可能性があるなど、5段階中2番目に深刻な「C」や最低ランクとなる「D」と診断されたサイトは前回調査まで減少傾向にあったが、今回は約27%と前回調査の約17%を大きく上回った。

090722ms.jpg
MBSDによる調査で発見された脆弱性の評価と年次推移。

検出率が高かった脆弱性としては、クロスサイトスクリプティングが55%でトップ。パラメータ操作の35%、クロスサイトリクエストフォージュリの33%が続いている。SQLインジェクションは19%で5位だった。

(Security NEXT - 2009/07/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
ランサムウェアを6割が認知するも、4割強はバックアップ未実施
目立つ「HeartBleed」関連インシデント - ラック報告
2016年のモバイルセキュリティ市場は65億円 - 5年後には2倍に