Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイト改ざんの原因となる脆弱性、2013年前半だけで101件

「WordPress」をはじめとするCMSや、「Apache Struts」など、ウェブサイトが改ざんされる原因になる脆弱性が、2013年前半だけで101件が見つかっている。ウェブ管理者は注意が必要だ。

情報処理推進機構(IPA)が、2013年第2四半期における脆弱性データベース「JVN iPedia」の登録状況を発表し、明らかになったもの。

同データベースは、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の情報を収録したもの。2007年4月より公開している。

同四半期に登録された脆弱性対策情報は、国内製品開発者から収集した情報が5件、JVNの掲載情報が128件、NVDの情報が1067件で合計1200件となり、前四半期の1237件をわずかに下回った。またこれにより累計登録件数が4万536件となり、4万件の大台を超えている。

同四半期に登録された脆弱性対策情報を種類別に見ると、「バッファエラー」が194件で最多。次いで「クロスサイトスクリプティング(130件)」「認可・権限・アクセス制御の問題(114件)」「不適切な入力確認(96件)」「リソース管理の問題(82件)」「情報漏洩(55件)」と続く。

登録済み脆弱性情報の深刻度別割合は、CVSS基本値が7.0から10.0で「危険」とされる「レベルIII」が全体の45%を占める。「警告」とされる「レベルII」は49%、3段階中もっとも低い「注意」の「レベルI」は6%。前四半期からの変化はなかった。

「Joomla!」や「WordPress」などCMSをはじめ、「Apache Struts」「Parallels Plesk Panel」「MySQL」「BIND」「phpMyAdmin」など、ウェブサイトの改ざん攻撃に悪用されるケースが多いソフトウェアの脆弱性が引き続き登録されている。

2007年以降は毎年200件前後の脆弱性情報が登録されており、2013年は6月末時点で101件が登録されている。サイト改ざんを未然に防ぐため、速やかなバージョンアップが求められる。

また2014年4月にサポートが終了する「Windows XP」について、これまで登録された脆弱性情報の71%が最も危険な「レベルIII」、26%が「レベルII」であるとして、攻撃に悪用された場合深刻な被害が想定されると指摘。サポート終了前に他製品に移行するよう呼びかけている。

(Security NEXT - 2013/07/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
過去年度の申請書を誤って廃棄か - 長崎県警
労働力調査の調査世帯一覧表を紛失 - 栃木県
本の雑誌社のXアカウントが乗っ取り被害 - 注意を呼びかけ
アフラック契約者サイトなどで顧客約438万人の個人情報が流出
中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市