ウェブの脆弱性対策が二極分化 - 27％に深刻な脆弱性

ウェブアプリケーションにおける脆弱性への対策状況が二極分化している。脆弱性が検知されないサイト数の割合は過去最高となる一方、深刻な脆弱性が存在しているウェブサイトが増加している。

ウェブアプリの脆弱性検査サービスを展開する三井物産セキュアディレクションが、2008年度に実施した検査結果の統計をレポートとして取りまとめたもの。レポートによれば、脆弱性が検知されなかった評価「S」のウェブサイトは、前回調査から7ポイント上昇して20％に達し、調査開始以来最高を記録した。

しかしながら、残りの約80％からはなんらかの脆弱性が発見されており、なかでも個人情報が大量に流出する可能性があるなど、5段階中2番目に深刻な「C」や最低ランクとなる「D」と診断されたサイトは前回調査まで減少傾向にあったが、今回は約27％と前回調査の約17％を大きく上回った。

MBSDによる調査で発見された脆弱性の評価と年次推移。

検出率が高かった脆弱性としては、クロスサイトスクリプティングが55％でトップ。パラメータ操作の35％、クロスサイトリクエストフォージュリの33％が続いている。SQLインジェクションは19％で5位だった。

（Security NEXT - 2009/07/22 ）ツイート