Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性を修正したサイトの約15%に修正不足や別の脆弱性 - IPAらまとめ

ウェブサイトの脆弱性を修正しても、別の脆弱性が存在したり、修正不足が生じているケースが発生していることが、情報処理推進機構(IPA)とJPCERTコーディネーションセンターのまとめによりわかった。

IPAらが2009年第3四半期の脆弱性に関する届け出情報を取りまとめた結果判明したもの。同レポートによれば、ウェブサイトの脆弱性に関する届け出は、減少傾向は続いているものの、「再指摘」を受けるケースが目立っているという。

2009年第3四半期の届出件数は、ソフトウェア製品関連が39件、ウェブサイト関連が131件。ウェブサイトの脆弱性は前四半期の386件から半減した。一時的にクロスサイトスクリプティングの届け出が激増し、届出件数が1430件に達した2008年第4四半期をピークに、減少傾向が続いている。

091019ip1.jpg

2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが994件、ウェブサイトに関するものが4832件で合計5826件となった。1就業日あたりの届出件数は4.56件。

届け出があったウェブサイトを脆弱性の種類別に見ると、DNSキャッシュポイズニングが88件(67%)でもっとも多く、クロスサイトスクリプティングが19件(15%)、HTTPSの不適切な利用が6件(5%)と続いた。

届け出があったウェブサイトの運営者内訳では、上場と非上場を合わせた企業が99件で全体の76%を占め、前四半期の52%から比率を伸ばしている。次に多いのは協会や社団法人などの団体で13件(10%)、地方公共団体8件(6%)などだった。

また、ウェブサイトの脆弱性の処理状況を見ると、ウェブサイト運営者が修正を完了したものは235件で、累計2223件となった。

しかし、2009年1月から9月末までの修正が完了した779件のうち、再度脆弱性が指摘されたケースが120件あった。そのうち「修正不十分」が69件、「別の個所に脆弱性が存在」が51件だった。

091019ip2.jpg

再指摘された脆弱性では120件中93件と「クロスサイトスクリプティング」に集中している。同脆弱性は、情報出力処理に起因するケースが多く、出力処理が多いウェブアプリの性質上、修正箇所以外にも同様の脆弱性が存在するケースが傾向があるという。また次に多いSQLインジェクションも14件と1割を超える結果となった。

(Security NEXT - 2009/10/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
2018年3Q、脆弱性DBへの登録は3834件 - IPA
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に
2018年1Qの重要インシデント、前四半期から2割減
セキュリティ自動化、ベンダー混在環境に課題