Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイト改ざんの原因となる脆弱性、2013年前半だけで101件

「WordPress」をはじめとするCMSや、「Apache Struts」など、ウェブサイトが改ざんされる原因になる脆弱性が、2013年前半だけで101件が見つかっている。ウェブ管理者は注意が必要だ。

情報処理推進機構(IPA)が、2013年第2四半期における脆弱性データベース「JVN iPedia」の登録状況を発表し、明らかになったもの。

同データベースは、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の情報を収録したもの。2007年4月より公開している。

同四半期に登録された脆弱性対策情報は、国内製品開発者から収集した情報が5件、JVNの掲載情報が128件、NVDの情報が1067件で合計1200件となり、前四半期の1237件をわずかに下回った。またこれにより累計登録件数が4万536件となり、4万件の大台を超えている。

同四半期に登録された脆弱性対策情報を種類別に見ると、「バッファエラー」が194件で最多。次いで「クロスサイトスクリプティング(130件)」「認可・権限・アクセス制御の問題(114件)」「不適切な入力確認(96件)」「リソース管理の問題(82件)」「情報漏洩(55件)」と続く。

登録済み脆弱性情報の深刻度別割合は、CVSS基本値が7.0から10.0で「危険」とされる「レベルIII」が全体の45%を占める。「警告」とされる「レベルII」は49%、3段階中もっとも低い「注意」の「レベルI」は6%。前四半期からの変化はなかった。

「Joomla!」や「WordPress」などCMSをはじめ、「Apache Struts」「Parallels Plesk Panel」「MySQL」「BIND」「phpMyAdmin」など、ウェブサイトの改ざん攻撃に悪用されるケースが多いソフトウェアの脆弱性が引き続き登録されている。

2007年以降は毎年200件前後の脆弱性情報が登録されており、2013年は6月末時点で101件が登録されている。サイト改ざんを未然に防ぐため、速やかなバージョンアップが求められる。

また2014年4月にサポートが終了する「Windows XP」について、これまで登録された脆弱性情報の71%が最も危険な「レベルIII」、26%が「レベルII」であるとして、攻撃に悪用された場合深刻な被害が想定されると指摘。サポート終了前に他製品に移行するよう呼びかけている。

(Security NEXT - 2013/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

個人情報や生産データが流出した可能性 - JVCケンウッド
日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町
小規模事業者持続化補助金の事務局がランサム被害
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
「auひかり」向けのブロードバンドルータに複数の脆弱性
「違法情報」の通報が約28.2%増 - 「犯罪実行者募集」は4000件超