Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブアプリの87%に脆弱性、半数に個人情報漏洩のおそれ - MBSDまとめ

大多数のウェブアプリケーションに脆弱性が含まれていることが、三井物産セキュアディレクションのまとめにより明らかになった。約半数のサイトには個人情報漏洩のおそれがあるという。

同社が提供する「Webアプリケーション脆弱性検査サービス」の結果を取りまとめたもので、2007年4月1日から2008年3月31日までに実施した検査結果を集計した。

同社によれば、検査を実施したサイトのうち、脆弱性が発見されなかった評価「S」のサイトは、2002年から増加傾向にあり、2007年度は全体の13%と過去最高だった。

一方で、残り87%については何らかの脆弱性が発見されており、約半数のサイトについては個人情報漏洩につながる脆弱性が見つかった。なかでも大量の個人情報漏洩につながる脆弱性が発見された評価「C」および「D」のサイトは、年々減少しているものの、17%と予断を許さない状況となっている。

1サイトあたりの脆弱性種類別発見率を見ると、「クロスサイトスクリプティング」が69%もっとも多かった。「エラーコード」49%、「クロスサイトリクエストフォージェリ」39%と続く。

またウェブの改ざんや情報漏洩など被害が多発している「SQLインジェクション」は、18%のサイトで見つかっている。技術者でなくても、ひと目見ただけでSQLクエリがパラメータに設定されていることがわかる初歩的なミスなども報告されている。

前年と比較すると、「クロスサイトスクリプティング」が18%増で過去最高を記録。「エラーコード」も11%増加した。一方、サーバの構築や設定に関する問題を総称した「Server misconfiguration」は34%と大幅な減少を見せた。

「SQLインジェクション」は2%の減少で、前年とほぼ同水準だった。同社では、セキュリティ対策状況は年々向上しているものの、攻撃手法も複雑化しており、専門家による脆弱性検査サービスの活用などを呼びかけている。

(Security NEXT - 2008/05/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年1Qの標的型攻撃メール報告は13件 - 「Emotet」関連報告は収束へ
2021年1Qの「JVN iPedia」登録は1701件 - 「XSS」が170件で最多
2021年1Q、脆弱性届出は252件 - サイト関連が大きく減少
国内設置ルータを踏み台とした攻撃パケットの増加を観測 - JPCERT/CC
巧妙化するランサム攻撃、被害の多くが「VPN機器」脆弱性に起因
小規模サイト、約1割「一切脆弱性対策せず」 - 対策不備で2割が被害経験
2020年の緊急対応支援、3割強が「Emotet」 - ラック
2020年4Qのインシデントは1割減 - マルウェアサイトは倍増
2020年4Qの脆弱性届け出は303件 - ソフト、サイトともに増
2020年4Qの脆弱性登録は1423件 - 前年同期の3分の1