Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

34%のサイトに致命的な欠陥 - 半数はカード番号を暗号化せず保存

ウェブサイトの3分の1に個人情報やパスワード、口座情報、カード情報など重要な情報へ不正アクセスできる致命的な脆弱性が含まれていることがわかった。

ウェブアプリケーションの脆弱性診断サービスを手がけているNRIセキュアテクノロジーズが、2008年度に実施した診断統計を取りまとめたもの。

調査を実施した217件のうち、危険度の高い問題が発見されたなったサイトは24%で前回調査の29%から5ポイント減少した。一方前回の41%から7ポイント減となったものの34%のサイトでは、重要な情報へアクセスできるなど致命的な欠陥を抱えていた。

また今回の調査結果における大きな特徴のひとつに、致命的ではないものの情報漏洩といった脆弱性が含まれるサイトが前回調査から12ポイントと大幅に増加し、42%となったことが挙げられる。同社では、致命的な問題への対応は進んでいるものの、予算不足を理由に対策不足のサイトが発生しているのではないかと分析している。

脆弱性の種類別に見た発見割合の結果も、致命的な事故へつながった事例が少ない「クロスサイトスクリプティング」が51%と目立っている。前回調査の60%から減少したものの、依然として半数を超えるなど対策漏れが目立っている。

致命的なケースへ発展しかねない「SQLインジェクション」は、5ポイント減少して17%だった。35%に達していた2005年から見ると半減している。また「なりすまし」も減少傾向で17%、権限の昇格は前回から微増して13%だった。

今回増加傾向が見られた「権限昇格」については、業務システムにおいて危険性が高く、60%が致命的な問題へつながるもので、「重要書類」や「機関システム」へアクセスできるといった問題が報告されている。

(Security NEXT - 2009/07/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向
2017年後半に「コインマイナー」検出が急増 - 「Coinhive」の影響も
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査