Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイトの脆弱性届出は減少するも、対策の遅れが目立つ - IPAらまとめ

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第2四半期の脆弱性に関する届け出情報を取りまとめ、公表した。ウェブサイトの脆弱性に関する届出は減少する一方、90日以上対策が未完のものが前期より倍増するなど、対策の遅れが目立っている。

レポートによると、2009年第2四半期の届出件数は、ソフトウェア製品に関するもの43件、ウェブサイトに関するもの386件だった。

ウェブサイトの脆弱性は前四半期の825件から半減しているが、クロスサイトスクリプティング、DNSキャッシュポイズニング、SQLインジェクションといった深刻な脆弱性に関する届出は継続しており、予断を許さない状況が続いている。

2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが955件、ウェブサイトに関するものが4705件で、合計5660件となった。届出件数は年々増加してしており、2008年第3四半期から2009年第2四半期の1年間だけで3338件あった。また、1就業日あたりの届出件数も4.66件に上昇している。

こういった増加傾向の原因として、2008年第3四半期ごろからDNSキャッシュポイズニング、SQLインジェクションの脆弱性の届出が増加したことや、2008年第4四半期に一時的にクロスサイトスクリプティングの脆弱性が激増したことをレポートでは指摘している。

届出があったウェブサイトの脆弱性の内訳を種類別に見ると、クロスサイトスクリプティングが168件(44%)と最も多く、次いでDNSキャッシュポイズニングの脆弱性が107件(28%)、SQLインジェクションが48件(12.5%)、HTTPSの不適切な利用が37件(9.5%)と続く。

届出があったウェブサイトの運営者内訳では、上場と非上場を合わせた企業が198件で全体の52%を占めている。次いで多いのは地方公共団体の75件で、19.5%を占めている。

またウェブサイトの脆弱性対策状況を見ると、対策の遅れが目立っていることがわかる。90日以上対策が完了していないものは1021件で、前四半期の592件から大幅に増加している。特に、経過日数が200から299日のケースが267件と、前期の74件から3倍の伸びを見せた。

IPAによれば、過去1年間にサイト運営者に対策を依頼した2014件のうち、58%にあたる1177件について対策が未完了のままだとして、適切な修正作業を早急に実施するよう求めている。

(Security NEXT - 2009/07/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

16.5%の企業がCSIRT設置 - 1001名以上では4割
「Office」数式エディタの脆弱性狙うマルウェア、一時大きく増加
2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
2018年3Q、脆弱性DBへの登録は3834件 - IPA
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に