長期間にわたり脆弱性未修整のサイトが増加傾向 - IPAらまとめ
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第1四半期の脆弱性に関する届け出情報を取りまとめ、公表した。SQLインジェクションをはじめとする深刻な脆弱性が年々増加しており、ウェブサイトにおける脆弱性の修正期間も長期化しているという。
2009年第1四半期の届出件数は、ソフトウェア製品に関するもの51件、ウェブサイトに関するもの825件だった。ウェブサイトの脆弱性については、急増した前四半期から減少となったものの、届出の増加傾向は年々深刻化している。
受付開始時から2008年第1四半期までの4年間では2045件だったが、その後の1年弱で3206件の届出があり、累計で5251件となった。また、1就業日あたりの届出件数は2006年には1.61件だったが、今四半期には4.55件にまで上昇した。
脆弱性関連情報の届出件数の四半期別推移(IPA)
こうした傾向の背景には、2008年第3四半期ごろからDNSキャッシュポイズニングおよびSQLインジェクションの届出が増加したことや、2008年第4四半期に一時的ながらもクロスサイトスクリプティングの届出が激増したことがあると指摘している。
特に2008年7月に公開されたDNSキャッシュポイズニングの脆弱性の影響が大きく、対策情報を公開した後も脆弱性を放置しているケースが多く見られるという。
届出があったウェブサイトの脆弱性の内訳を見ると、DNSキャッシュポイズニングの脆弱性が343件(42%)、クロスサイトスクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種で全体の95%を占めた。
なかでもSQLインジェクションは、前四半期の49件から倍増しており、サイト改ざんや情報漏洩など深刻な被害を引き起こすおそれがあることから、ウェブサイトの運営者に対し、脆弱性検査を実施し、問題が見つかった場合は早急に対策するよう呼びかけている。
またウェブサイトの脆弱性対策状況を見ると、90日以上対策が完了していないものは592件で、前四半期の258件から倍増。経過日数が90日から199日が369件、200日から299日が74件、300日から399日が65件となっており、1000日以上経過しているケースも15件ある。SQLインジェクションのように、深刻度の高い脆弱性も含まれていた。
修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類(IPA)
(Security NEXT - 2009/04/22 )
ツイート
PR
関連記事
先週注目された記事(2025年1月26日〜2025年2月1日)
「セキュリティ10大脅威2025」 - 「地政学的リスク」が初選出
4Qの脆弱性届出は163件 - ウェブサイト関連が約2.6倍
2024年4Qのインシデントは約8%増 - 「FortiManager」脆弱性の侵害事例も
4Qの「JVN iPedia」登録は6894件 - 「NVD」公開遅延で減少
先週注目された記事(2025年1月19日〜2025年1月25日)
先週注目された記事(2025年1月12日〜2025年1月18日)
先週注目された記事(2025年1月5日〜2025年1月11日)
12月は悪用確認された脆弱性16件に注意喚起 - 米当局
先週注目された記事(2024年12月29日〜2025年1月4日)