深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視

SQLインジェクションやクロスサイトスクリプティングなど、深刻な脆弱性が発見されたウェブサイトの半数は、開発時にセキュリティを意識していなかったことがわかった。

情報処理推進機構（IPA）とJPCERTコーディネーションセンターが、2008年第4四半期の脆弱性に関する届け出状況を取りまとめ、判明したもの。

届け出の累計は、受付開始から2008年第2四半期までの4年間で2300件だったが、その後急激に増加しており、2008年末には4300件まで規模が拡大。特に今回取りまとめた第4四半期における届け出件数は、ソフトウェア製品の60件、ウェブアプリ関連1430件のあわせて1490件と激増している。

こうした傾向は、2008年第3四半期ごろから「DNSキャッシュポイズニング」「SQLインジェクション」「クロスサイトスクリプティング」の増加が背景にあり、特に7月に判明したDNSキャッシュポイズニングの脆弱性の影響が大きかった。9月に283件の届け出があり、その後は減少傾向にあるものの、12月の時点でも126件と以前多数の届け出が寄せられている。

208年第4四半期のSQLインジェクションの脆弱性に関する届け出は49件。1年の動きを見ると、急増した3月の41件を除くと、2008年前半は届け出はひとけた台で推移したが、8月に再び増加。以降も30件弱から60件強で推移して2008年の累計届け出は263件となった。同機構によれば、1月26日の時点で202件が対策が完了せず取扱中となっているという。

さらにウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。

SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50％にとどまった。

また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

（Security NEXT - 2009/01/26 ）ツイート

深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視

関連リンク

PR

関連記事