Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

企業のウェブアプリ63%に脆弱性、3割に重要情報漏洩のおそれ

企業のウェブアプリケーションにおいて、63%に何らかの問題があるとの調査結果をNRIセキュアテクノロジーズが取りまとめた。33%は重要な情報へ不正アクセスが可能だったという。

同調査は、2012年4月1日から2013年3月31日までの間に、同社が提供しているセキュリティ関連サービスから得たデータを分析、まとめたもの。2005年から毎年公表しており、今回で9回目となる。

20130712_NR_001.jpg
ファイアウォール外から実施した企業システムに対する脆弱性診断の結果(グラフ:NRIセキュア)

同社によれば、企業システム88件に対して外部からファイアウォール経由で脆弱性調査を実施したところ、「安全」と診断したケースが58%で、前年の43%から15ポイント増加した。

外部から即時攻撃が行える「危険」と診断されたサイトは、25%で前回の32%から7ポイント改善。ただし、2008年から2010年までひと桁台で推移していたことを考えると、非常に高い割合で推移している。条件付きで攻撃が可能となる「注意」は17%だった。

2011年以降、危険と判定されるケースが増加したのは、Apacheにおけるサービス拒否の脆弱性「CVE-2011-3192」の検出が増えているためだという。

さらに企業のファイアウォール内で同様の調査を実施したところ「危険」とされたシステムが50%で、「注意」をあわせると88%にのぼる。同社は、企業のシステムがファイアウォールに大きく依存しており、内部犯行や許可された通信を利用した攻撃に対して無防備であると指摘している。

20130712_NR_002.jpg
ウェブアプリケーションに対する脆弱性診断の結果(グラフ:NRIセキュア)

一方、ウェブサイト531件に対して実施した脆弱性診断では、重要な情報へアクセスが可能であり、「危険」と判断されたケースは33%だった。

重要情報へアクセスできなかったものの、情報漏洩につながる可能性が見つかり、「注意」とされたケースも30%あり、あわせると63%にのぼる。前回から「注意」とされるサイトが7ポイント減少したが、「危険」の割合は横ばいだった。

また同社は、2012年の傾向として、脆弱性情報が公開されてから悪用されるまでの期間が短くなっている点に触れ、警鐘を鳴らしている。

「Apache Struts」の脆弱性は、2012年1月8日に公開され、翌週14日に攻撃を検出。2012年5月3日に公表されたPHPの脆弱性についても、6日後には悪用が確認された。企業が修正パッチを検証して適用する前に攻撃を受けてしまう危険が高まっているという。

一方で、企業システムにおいて検出が目立ったApacheの脆弱性「CVE-2011-3192」は、2011年8月に公表されている。十分な期間があるにも関わらず、対策が実施されておらず、同社はパッチ適用の運用が十分行われていない企業が2割以上にのぼると指摘している。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年2Qの脆弱性届け出は269件 - ソフトウェア関連が2.6倍に
2017年1Qの脆弱性届け出はソフトウェアが88件 - 情報家電やルータなど目立つ
ECサイトの約半数が1年以内にサイバー攻撃を経験 - 7割で被害
国内ネットワークセキュリティ市場は4172億円 - 2020年度には5000億円弱に
2016年4Qのソフトウェア脆弱性は138件 - 家電とルータで30件超
2016年2Qの脆弱性届出は230件 - ウェブサイト関連が増加
2016年2Qの脆弱性届出は753件 - ソフト製品関連が前Q比約7倍に
国内上位50サイト、平均24件のスクリプトを実行 - 1Mバイト以上をダウンロード
3社に1社、過去1年にサイバー攻撃受ける - 半数で被害