WebサイトやWebアプリケーションの多くが、発見された脆弱性を修復した後にも脆弱性が残るか、場合によっては脆弱性の数が増加する場合すらあるとのショッキングな調査結果が発表された。これはアプリケーションセキュリティソリューションを開発している米Impervaが行なった調査で、報告書が同社のWebサイトで公開されている。
Impervaは外部から侵入テストを行ない、Webアプリケーションなどに存在する脆弱性を発見することで危険を減らすための研究を行なっている。同社のアプリケーションディフェンスセンターで実施した実験では、「危険」あるいは「極めて危険」レベルの脆弱性は、最初の侵入テストが行なわれた後で89%から93%へと増加してしまったという。再テストを行なった50%のケースでは、これまでにない新たなカテゴリーの脆弱性も発見される結果に終わった。
これは、侵入テストの後も開発者たちが発見された脆弱性を修復する方法を知らなかったか、あるいは侵入テストの結果を無視してしまったからだという。また、Webサイトに改良を加えたり、規模を拡大したり、脆弱性を修復するための作業を行なう中で、新たな脆弱性が持ち込まれてしまうケースも見られた。
関連情報
■URL
ニュースリリース(英文)
http://www.imperva.com/company/news/2004-jun-28.html
調査報告書(英文)
http://www.imperva.com/application_defense_center/papers/how_safe_is_it.html
( 青木大我 taiga@scientist.com )
2004/06/30 12:20
- ページの先頭へ-
|