長期間にわたり脆弱性未修整のサイトが増加傾向 - IPAらまとめ
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第1四半期の脆弱性に関する届け出情報を取りまとめ、公表した。SQLインジェクションをはじめとする深刻な脆弱性が年々増加しており、ウェブサイトにおける脆弱性の修正期間も長期化しているという。
2009年第1四半期の届出件数は、ソフトウェア製品に関するもの51件、ウェブサイトに関するもの825件だった。ウェブサイトの脆弱性については、急増した前四半期から減少となったものの、届出の増加傾向は年々深刻化している。
受付開始時から2008年第1四半期までの4年間では2045件だったが、その後の1年弱で3206件の届出があり、累計で5251件となった。また、1就業日あたりの届出件数は2006年には1.61件だったが、今四半期には4.55件にまで上昇した。
脆弱性関連情報の届出件数の四半期別推移(IPA)
こうした傾向の背景には、2008年第3四半期ごろからDNSキャッシュポイズニングおよびSQLインジェクションの届出が増加したことや、2008年第4四半期に一時的ながらもクロスサイトスクリプティングの届出が激増したことがあると指摘している。
特に2008年7月に公開されたDNSキャッシュポイズニングの脆弱性の影響が大きく、対策情報を公開した後も脆弱性を放置しているケースが多く見られるという。
届出があったウェブサイトの脆弱性の内訳を見ると、DNSキャッシュポイズニングの脆弱性が343件(42%)、クロスサイトスクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種で全体の95%を占めた。
なかでもSQLインジェクションは、前四半期の49件から倍増しており、サイト改ざんや情報漏洩など深刻な被害を引き起こすおそれがあることから、ウェブサイトの運営者に対し、脆弱性検査を実施し、問題が見つかった場合は早急に対策するよう呼びかけている。
またウェブサイトの脆弱性対策状況を見ると、90日以上対策が完了していないものは592件で、前四半期の258件から倍増。経過日数が90日から199日が369件、200日から299日が74件、300日から399日が65件となっており、1000日以上経過しているケースも15件ある。SQLインジェクションのように、深刻度の高い脆弱性も含まれていた。
修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類(IPA)
(Security NEXT - 2009/04/22 )
ツイート
PR
関連記事
2Qの脆弱性届け出は112件 - 前四半期から半減
先週注目された記事(2024年7月14日〜2024年7月20日)
先週注目された記事(2024年7月7日〜2024年7月13日)
先週注目された記事(2024年6月30日〜2024年7月6日)
6月の脆弱性悪用リスト「KEV」への登録は9件
先週注目された記事(2024年6月23日〜2024年6月29日)
先週注目された記事(2024年6月16日〜2024年6月22日)
先週注目された記事(2024年6月9日〜2024年6月15日)
先週注目された記事(2024年6月2日〜2024年6月8日)
先週注目された記事(2024年5月19日〜2024年5月25日)
