ウェブサイトの脆弱性届出が過去最高、政府機関のサイトで急増 - IPAらまとめ

情報処理推進機構（IPA）とJPCERTコーディネーションセンターは、2008年第1四半期における脆弱性の届け出状況を取りまとめた。

同四半期に寄せられた脆弱性の届け出件数は、ソフトウェアが53件、ウェブアプリケーションが244件だった。ソフトウェアに関しては前期の66件から減少したが、ウェブアプリは80件から大幅な増加を見せ、過去最高を記録した。

今回は特に政府機関による届け出の増加が目立っている。2004年7月以降における政府機関による届け出件数の平均は全体の6％だが、今四半期は2倍以上となる13％に達した。

ウェブアプリで寄せられた脆弱性としては、ウェブサイト上への偽情報の表示が33％ともっとも多く、次いでデータの改ざんが25％、クッキーの漏洩が13％、個人情報の漏洩が9％だった。特定のウェブブラウザの動作に依存するクロスサイトスクリプティングの脆弱性が多かったという。

ソフトウェアの脆弱性については、任意のスクリプトが実行される脆弱性が47％ともっとも多く、情報漏洩の9％、任意のコードの実行およびなりすましの7％と続いている。

同四半期において取扱いが終了したソフトウェアの脆弱性は33件で、累計は405件。ウェブサイトは78件で、累計は1040件になった。

一方、ウェブサイトの脆弱性で90日以上対策が完了していないケースは累計で108件となった。そのうち、同四半期であらたに90日以上となったのは34件。また、300日以上完了していないものは14件増加し、累計で53件となった。

SQLインジェクションのように、深刻な被害をもたらす脆弱性もあることから、同機構では早急に対策を講じるよう求めている。

（Security NEXT - 2008/04/16 ）ツイート