Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

企業のウェブアプリ63%に脆弱性、3割に重要情報漏洩のおそれ

企業のウェブアプリケーションにおいて、63%に何らかの問題があるとの調査結果をNRIセキュアテクノロジーズが取りまとめた。33%は重要な情報へ不正アクセスが可能だったという。

同調査は、2012年4月1日から2013年3月31日までの間に、同社が提供しているセキュリティ関連サービスから得たデータを分析、まとめたもの。2005年から毎年公表しており、今回で9回目となる。

20130712_NR_001.jpg
ファイアウォール外から実施した企業システムに対する脆弱性診断の結果(グラフ:NRIセキュア)

同社によれば、企業システム88件に対して外部からファイアウォール経由で脆弱性調査を実施したところ、「安全」と診断したケースが58%で、前年の43%から15ポイント増加した。

外部から即時攻撃が行える「危険」と診断されたサイトは、25%で前回の32%から7ポイント改善。ただし、2008年から2010年までひと桁台で推移していたことを考えると、非常に高い割合で推移している。条件付きで攻撃が可能となる「注意」は17%だった。

2011年以降、危険と判定されるケースが増加したのは、Apacheにおけるサービス拒否の脆弱性「CVE-2011-3192」の検出が増えているためだという。

さらに企業のファイアウォール内で同様の調査を実施したところ「危険」とされたシステムが50%で、「注意」をあわせると88%にのぼる。同社は、企業のシステムがファイアウォールに大きく依存しており、内部犯行や許可された通信を利用した攻撃に対して無防備であると指摘している。

20130712_NR_002.jpg
ウェブアプリケーションに対する脆弱性診断の結果(グラフ:NRIセキュア)

一方、ウェブサイト531件に対して実施した脆弱性診断では、重要な情報へアクセスが可能であり、「危険」と判断されたケースは33%だった。

重要情報へアクセスできなかったものの、情報漏洩につながる可能性が見つかり、「注意」とされたケースも30%あり、あわせると63%にのぼる。前回から「注意」とされるサイトが7ポイント減少したが、「危険」の割合は横ばいだった。

また同社は、2012年の傾向として、脆弱性情報が公開されてから悪用されるまでの期間が短くなっている点に触れ、警鐘を鳴らしている。

「Apache Struts」の脆弱性は、2012年1月8日に公開され、翌週14日に攻撃を検出。2012年5月3日に公表されたPHPの脆弱性についても、6日後には悪用が確認された。企業が修正パッチを検証して適用する前に攻撃を受けてしまう危険が高まっているという。

一方で、企業システムにおいて検出が目立ったApacheの脆弱性「CVE-2011-3192」は、2011年8月に公表されている。十分な期間があるにも関わらず、対策が実施されておらず、同社はパッチ適用の運用が十分行われていない企業が2割以上にのぼると指摘している。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱性の届出が大幅増 - ウェブサイト関連は前四半期比2.2倍に
国内クラウドサービス、海外に比べてセキュリティ対策に遅れ
3Qの脆弱性届け出、ウェブサイト関連が増加
2Qの脆弱性届け出、ソフトとウェブともに減少
地方金融機関の7割、セキュリティリスクを評価できる人材が不足
1Qの脆弱性届け出 - ソフトとウェブサイトのいずれも増加
アプリの4.5%に「緊急」とされる脆弱性 - Synopsys調査
2022年4Qの脆弱性届出 - ソフトとサイトいずれも減少
2022年3Qの脆弱性届け出、ソフトとサイトのいずれも増加
2022年2Qの脆弱性届け出は163件 - ウェブ関連が減少