サイト改ざんの原因となる脆弱性、2013年前半だけで101件

「WordPress」をはじめとするCMSや、「Apache Struts」など、ウェブサイトが改ざんされる原因になる脆弱性が、2013年前半だけで101件が見つかっている。ウェブ管理者は注意が必要だ。

情報処理推進機構（IPA）が、2013年第2四半期における脆弱性データベース「JVN iPedia」の登録状況を発表し、明らかになったもの。

同データベースは、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所（NIST）による脆弱性データベース「NVD」の情報を収録したもの。2007年4月より公開している。

同四半期に登録された脆弱性対策情報は、国内製品開発者から収集した情報が5件、JVNの掲載情報が128件、NVDの情報が1067件で合計1200件となり、前四半期の1237件をわずかに下回った。またこれにより累計登録件数が4万536件となり、4万件の大台を超えている。

同四半期に登録された脆弱性対策情報を種類別に見ると、「バッファエラー」が194件で最多。次いで「クロスサイトスクリプティング（130件）」「認可・権限・アクセス制御の問題（114件）」「不適切な入力確認（96件）」「リソース管理の問題（82件）」「情報漏洩（55件）」と続く。

登録済み脆弱性情報の深刻度別割合は、CVSS基本値が7.0から10.0で「危険」とされる「レベルIII」が全体の45％を占める。「警告」とされる「レベルII」は49％、3段階中もっとも低い「注意」の「レベルI」は6％。前四半期からの変化はなかった。

「Joomla!」や「WordPress」などCMSをはじめ、「Apache Struts」「Parallels Plesk Panel」「MySQL」「BIND」「phpMyAdmin」など、ウェブサイトの改ざん攻撃に悪用されるケースが多いソフトウェアの脆弱性が引き続き登録されている。

2007年以降は毎年200件前後の脆弱性情報が登録されており、2013年は6月末時点で101件が登録されている。サイト改ざんを未然に防ぐため、速やかなバージョンアップが求められる。

また2014年4月にサポートが終了する「Windows XP」について、これまで登録された脆弱性情報の71％が最も危険な「レベルIII」、26％が「レベルII」であるとして、攻撃に悪用された場合深刻な被害が想定されると指摘。サポート終了前に他製品に移行するよう呼びかけている。

（Security NEXT - 2013/07/23 ）ツイート