Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイト改ざんの原因となる脆弱性、2013年前半だけで101件

「WordPress」をはじめとするCMSや、「Apache Struts」など、ウェブサイトが改ざんされる原因になる脆弱性が、2013年前半だけで101件が見つかっている。ウェブ管理者は注意が必要だ。

情報処理推進機構(IPA)が、2013年第2四半期における脆弱性データベース「JVN iPedia」の登録状況を発表し、明らかになったもの。

同データベースは、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の情報を収録したもの。2007年4月より公開している。

同四半期に登録された脆弱性対策情報は、国内製品開発者から収集した情報が5件、JVNの掲載情報が128件、NVDの情報が1067件で合計1200件となり、前四半期の1237件をわずかに下回った。またこれにより累計登録件数が4万536件となり、4万件の大台を超えている。

同四半期に登録された脆弱性対策情報を種類別に見ると、「バッファエラー」が194件で最多。次いで「クロスサイトスクリプティング(130件)」「認可・権限・アクセス制御の問題(114件)」「不適切な入力確認(96件)」「リソース管理の問題(82件)」「情報漏洩(55件)」と続く。

登録済み脆弱性情報の深刻度別割合は、CVSS基本値が7.0から10.0で「危険」とされる「レベルIII」が全体の45%を占める。「警告」とされる「レベルII」は49%、3段階中もっとも低い「注意」の「レベルI」は6%。前四半期からの変化はなかった。

「Joomla!」や「WordPress」などCMSをはじめ、「Apache Struts」「Parallels Plesk Panel」「MySQL」「BIND」「phpMyAdmin」など、ウェブサイトの改ざん攻撃に悪用されるケースが多いソフトウェアの脆弱性が引き続き登録されている。

2007年以降は毎年200件前後の脆弱性情報が登録されており、2013年は6月末時点で101件が登録されている。サイト改ざんを未然に防ぐため、速やかなバージョンアップが求められる。

また2014年4月にサポートが終了する「Windows XP」について、これまで登録された脆弱性情報の71%が最も危険な「レベルIII」、26%が「レベルII」であるとして、攻撃に悪用された場合深刻な被害が想定されると指摘。サポート終了前に他製品に移行するよう呼びかけている。

(Security NEXT - 2013/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

登山情報サイトに不正アクセス - 会員へのフィッシングメールから判明
人材育成でNEC、日立、富士通が共同プロジェクト - 人材モデルの定義からサイバーレンジ活用まで
民間でも活用できるネットワークカメラのセキュリティ要件チェックリスト
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
過去1年間に被害に遭ったPCユーザーは約4割 - 平均被害額は5.3万円
情報提供メール誤送信で派遣登録者のメアド流出 - ランスタッド
BlackBerry、コネクテッドカーのセキュリティでフレームワーク
「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生
メールサーバに不正アクセス、迷惑メールの踏み台に - 放送大