Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイト改ざんの原因となる脆弱性、2013年前半だけで101件

「WordPress」をはじめとするCMSや、「Apache Struts」など、ウェブサイトが改ざんされる原因になる脆弱性が、2013年前半だけで101件が見つかっている。ウェブ管理者は注意が必要だ。

情報処理推進機構(IPA)が、2013年第2四半期における脆弱性データベース「JVN iPedia」の登録状況を発表し、明らかになったもの。

同データベースは、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の情報を収録したもの。2007年4月より公開している。

同四半期に登録された脆弱性対策情報は、国内製品開発者から収集した情報が5件、JVNの掲載情報が128件、NVDの情報が1067件で合計1200件となり、前四半期の1237件をわずかに下回った。またこれにより累計登録件数が4万536件となり、4万件の大台を超えている。

同四半期に登録された脆弱性対策情報を種類別に見ると、「バッファエラー」が194件で最多。次いで「クロスサイトスクリプティング(130件)」「認可・権限・アクセス制御の問題(114件)」「不適切な入力確認(96件)」「リソース管理の問題(82件)」「情報漏洩(55件)」と続く。

登録済み脆弱性情報の深刻度別割合は、CVSS基本値が7.0から10.0で「危険」とされる「レベルIII」が全体の45%を占める。「警告」とされる「レベルII」は49%、3段階中もっとも低い「注意」の「レベルI」は6%。前四半期からの変化はなかった。

「Joomla!」や「WordPress」などCMSをはじめ、「Apache Struts」「Parallels Plesk Panel」「MySQL」「BIND」「phpMyAdmin」など、ウェブサイトの改ざん攻撃に悪用されるケースが多いソフトウェアの脆弱性が引き続き登録されている。

2007年以降は毎年200件前後の脆弱性情報が登録されており、2013年は6月末時点で101件が登録されている。サイト改ざんを未然に防ぐため、速やかなバージョンアップが求められる。

また2014年4月にサポートが終了する「Windows XP」について、これまで登録された脆弱性情報の71%が最も危険な「レベルIII」、26%が「レベルII」であるとして、攻撃に悪用された場合深刻な被害が想定されると指摘。サポート終了前に他製品に移行するよう呼びかけている。

(Security NEXT - 2013/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

新卒採用アカウントに不正アクセス、スパム送信や個人情報流出など - ダイドードリンコ
エキストラ登録者へのメールで誤送信 - 牛久フィルムコミッション
顧客情報を一時紛失、外部店舗で発見 - 京都の冠婚葬祭事業者
職員が業務システムで親族個人情報を目的外閲覧、外部漏洩 - 大阪市
資源エネルギー庁の公開会議資料に入札情報 - PDFに表計算ファイル添付
過去1年に1.5%がクレカの不正利用被害を経験 - 平均被害額は3万8733円
抜け漏れないウェブのセキュリティ対策を - IPAがポイント20カ条
「WordPress」に複数脆弱性、「同5.0.1」がリリース - 旧版向け更新も
「会員料金未納」と不安あおる偽メールに注意 - セブン&アイHDになりすまし
エフセキュア、セキュリティゲートウェイに新版 - HTTPS検査に対応