41組織が個人情報を取り扱いながらもSQLインジェクションの脆弱性を放置 - IPAらまとめ

届け出があったウェブサイトを脆弱性の種類別に見ると、クロスサイトスクリプティングが64件（54％）で半数以上を占め、もっとも多かった。次いでSQLインジェクションが16件（13％）、ファイルの誤った公開11件（9％）、認証に関する不備6件（5％）。

今四半期に届け出があったウェブサイトの運営者内訳では、上場と非上場を合わせた企業が69件で全体の58％にのぼる。次に多いのは政府機関の28件（24％）、地方公共団体が7件（6％）、団体が6件（5％）と続く。

SQLインジェクションは2009年の1年間では168件の届出があった。その中で、個人情報を取り扱っているサイトの届出は103件で61％を占める。また、そのうち41件のサイトが、脆弱性が発見されたにもかかわらず放置していたという。

そのほかの原因で個人情報の漏洩が発生したケースは、2009年で6件。内訳は、ファイルの誤った公開が2件、認証に関する不備が2件、セッション管理の不備が1件、アクセス制限の回避が1件。

（Security NEXT - 2010/01/28 ）ツイート