Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

企業のウェブアプリ63%に脆弱性、3割に重要情報漏洩のおそれ

企業のウェブアプリケーションにおいて、63%に何らかの問題があるとの調査結果をNRIセキュアテクノロジーズが取りまとめた。33%は重要な情報へ不正アクセスが可能だったという。

同調査は、2012年4月1日から2013年3月31日までの間に、同社が提供しているセキュリティ関連サービスから得たデータを分析、まとめたもの。2005年から毎年公表しており、今回で9回目となる。

20130712_NR_001.jpg
ファイアウォール外から実施した企業システムに対する脆弱性診断の結果(グラフ:NRIセキュア)

同社によれば、企業システム88件に対して外部からファイアウォール経由で脆弱性調査を実施したところ、「安全」と診断したケースが58%で、前年の43%から15ポイント増加した。

外部から即時攻撃が行える「危険」と診断されたサイトは、25%で前回の32%から7ポイント改善。ただし、2008年から2010年までひと桁台で推移していたことを考えると、非常に高い割合で推移している。条件付きで攻撃が可能となる「注意」は17%だった。

2011年以降、危険と判定されるケースが増加したのは、Apacheにおけるサービス拒否の脆弱性「CVE-2011-3192」の検出が増えているためだという。

さらに企業のファイアウォール内で同様の調査を実施したところ「危険」とされたシステムが50%で、「注意」をあわせると88%にのぼる。同社は、企業のシステムがファイアウォールに大きく依存しており、内部犯行や許可された通信を利用した攻撃に対して無防備であると指摘している。

20130712_NR_002.jpg
ウェブアプリケーションに対する脆弱性診断の結果(グラフ:NRIセキュア)

一方、ウェブサイト531件に対して実施した脆弱性診断では、重要な情報へアクセスが可能であり、「危険」と判断されたケースは33%だった。

重要情報へアクセスできなかったものの、情報漏洩につながる可能性が見つかり、「注意」とされたケースも30%あり、あわせると63%にのぼる。前回から「注意」とされるサイトが7ポイント減少したが、「危険」の割合は横ばいだった。

また同社は、2012年の傾向として、脆弱性情報が公開されてから悪用されるまでの期間が短くなっている点に触れ、警鐘を鳴らしている。

「Apache Struts」の脆弱性は、2012年1月8日に公開され、翌週14日に攻撃を検出。2012年5月3日に公表されたPHPの脆弱性についても、6日後には悪用が確認された。企業が修正パッチを検証して適用する前に攻撃を受けてしまう危険が高まっているという。

一方で、企業システムにおいて検出が目立ったApacheの脆弱性「CVE-2011-3192」は、2011年8月に公表されている。十分な期間があるにも関わらず、対策が実施されておらず、同社はパッチ適用の運用が十分行われていない企業が2割以上にのぼると指摘している。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

2019年のフィッシング報告は約5.6万件 - 前年の2.8倍に
2020年1Qの脆弱性届け出は263件 - ウェブサイト関連が倍増
4社に1社、パッチ適用頻度は数カ月に1度
レンサバで運営されるウェブへの攻撃、約半数が「SQLi」
2019年4Qは脆弱性の届け出が半減 - ウェブ関連が大幅減
2019年3Qの脆弱性届け出が3割減 - 目立つウェブ関連
2019年2Qの脆弱性届出は499件、ウェブサイト関連が6倍に
2019年1Q、脆弱性の届出は122件 - ソフト関連倍増
特定ルーター狙う攻撃が8割以上 - 「ThinkPHP」も標的に
レンサバWAFの攻撃検知状況、半数超が「SQLインジェクション」