301日以上脆弱性が修正されないサイトが48％ - IPAらまとめ

ウェブサイトの運営主体内訳は、団体が53件で全体の45％を占め最も多く、企業合計が47件（39％）、地方公共団体が7件（6%）、個人が5件（4%）と続く。

今四半期中にウェブサイトの脆弱性修正が完了した件数は166件で、累計3052件となった。しかし、脆弱性が指摘されてから90日以内に修正されたものは3割にとどまり、301日以上経過したものが48％と約半数を占めている。

また、取り扱い中の届出でも、2008年以前のものが48％を占めるなど、長期間にわたり脆弱性が修正されていないサイトが多数残っていると指摘。これらサイトにはSQLインジェクションなど危険性の高い脆弱性も含まれている。

ウェブサイトを狙った攻撃の状況を見ると、2010年1月から6月までに攻撃が発生したと推測される件数は4324件で、2009年下半期の3790件から増加。特に5月から6月にかけて攻撃の集中が見られた。

そのうち、SQLインジェクション攻撃は1711件から531件と減少したものの、ウェブサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が、1534件から3537件と急増している。

いずれも攻撃の成功は確認されていないが、今後もウェブサイトの脆弱性を狙った攻撃は増加傾向にあるとして、管理者に対し注意を呼びかけている。

（Security NEXT - 2010/07/23 ）ツイート