深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視
SQLインジェクションやクロスサイトスクリプティングなど、深刻な脆弱性が発見されたウェブサイトの半数は、開発時にセキュリティを意識していなかったことがわかった。
情報処理推進機構(IPA)とJPCERTコーディネーションセンターが、2008年第4四半期の脆弱性に関する届け出状況を取りまとめ、判明したもの。
届け出の累計は、受付開始から2008年第2四半期までの4年間で2300件だったが、その後急激に増加しており、2008年末には4300件まで規模が拡大。特に今回取りまとめた第4四半期における届け出件数は、ソフトウェア製品の60件、ウェブアプリ関連1430件のあわせて1490件と激増している。
こうした傾向は、2008年第3四半期ごろから「DNSキャッシュポイズニング」「SQLインジェクション」「クロスサイトスクリプティング」の増加が背景にあり、特に7月に判明したDNSキャッシュポイズニングの脆弱性の影響が大きかった。9月に283件の届け出があり、その後は減少傾向にあるものの、12月の時点でも126件と以前多数の届け出が寄せられている。
208年第4四半期のSQLインジェクションの脆弱性に関する届け出は49件。1年の動きを見ると、急増した3月の41件を除くと、2008年前半は届け出はひとけた台で推移したが、8月に再び増加。以降も30件弱から60件強で推移して2008年の累計届け出は263件となった。同機構によれば、1月26日の時点で202件が対策が完了せず取扱中となっているという。
さらにウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。
SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。
また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。
(Security NEXT - 2009/01/26 )
ツイート
PR
関連記事
先週注目された記事(2024年11月17日〜2024年11月23日)
危険な脆弱性タイプのランキング - CSRFやコード挿入が上昇
先週注目された記事(2024年11月10日〜2024年11月16日)
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
先週注目された記事(2024年11月3日〜2024年11月9日)
10月の脆弱性悪用警告は17件、前月の約3分の2に - 米CISA
先週注目された記事(2024年10月27日〜2024年11月2日)
先週注目された記事(2024年10月20日〜2024年10月26日)
3Qの「JVN iPedia」登録は8763件 - 前四半期の6倍に
3Qの脆弱性届出は116件 - 前四半期から4.5%増
