長期間にわたり脆弱性未修整のサイトが増加傾向 - IPAらまとめ
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2009年第1四半期の脆弱性に関する届け出情報を取りまとめ、公表した。SQLインジェクションをはじめとする深刻な脆弱性が年々増加しており、ウェブサイトにおける脆弱性の修正期間も長期化しているという。
2009年第1四半期の届出件数は、ソフトウェア製品に関するもの51件、ウェブサイトに関するもの825件だった。ウェブサイトの脆弱性については、急増した前四半期から減少となったものの、届出の増加傾向は年々深刻化している。
受付開始時から2008年第1四半期までの4年間では2045件だったが、その後の1年弱で3206件の届出があり、累計で5251件となった。また、1就業日あたりの届出件数は2006年には1.61件だったが、今四半期には4.55件にまで上昇した。
脆弱性関連情報の届出件数の四半期別推移(IPA)
こうした傾向の背景には、2008年第3四半期ごろからDNSキャッシュポイズニングおよびSQLインジェクションの届出が増加したことや、2008年第4四半期に一時的ながらもクロスサイトスクリプティングの届出が激増したことがあると指摘している。
特に2008年7月に公開されたDNSキャッシュポイズニングの脆弱性の影響が大きく、対策情報を公開した後も脆弱性を放置しているケースが多く見られるという。
届出があったウェブサイトの脆弱性の内訳を見ると、DNSキャッシュポイズニングの脆弱性が343件(42%)、クロスサイトスクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種で全体の95%を占めた。
なかでもSQLインジェクションは、前四半期の49件から倍増しており、サイト改ざんや情報漏洩など深刻な被害を引き起こすおそれがあることから、ウェブサイトの運営者に対し、脆弱性検査を実施し、問題が見つかった場合は早急に対策するよう呼びかけている。
またウェブサイトの脆弱性対策状況を見ると、90日以上対策が完了していないものは592件で、前四半期の258件から倍増。経過日数が90日から199日が369件、200日から299日が74件、300日から399日が65件となっており、1000日以上経過しているケースも15件ある。SQLインジェクションのように、深刻度の高い脆弱性も含まれていた。
修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類(IPA)
(Security NEXT - 2009/04/22 )
ツイート
PR
関連記事
先週注目された記事(2025年3月16日〜2025年3月22日)
先週注目された記事(2025年3月9日〜2025年3月15日)
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
先週注目された記事(2025年3月2日〜2025年3月8日)
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
先週注目された記事(2025年2月23日〜2025年3月1日)
中小企業4社に1社でインシデント被害 - 約7割で「取引先に影響」
先週注目された記事(2025年2月16日〜2025年2月22日)
先週注目された記事(2025年2月9日〜2025年2月15日)
先週注目された記事(2025年2月2日〜2025年2月8日)
