情報処理推進機構(IPA)は21日、2009年第1四半期(1月~3月)に寄せられたWebサイトの脆弱性に関する届出件数が821件に上ったことを明らかにした。DNSの設定不備(DNSキャッシュポイズニング)、クロスサイトスクリプティング(XSS)、SQLインジェクションの3種類の脆弱性に関する届出で計95%を占めたという。
DNSキャッシュポイズニングの脆弱性は、2008年7月に複数のDNSサーバー製品の開発ベンダーから対策情報が公開されている。しかし、その後も「脆弱性対策を実施していないのでは?」という届出が継続して寄せられ、第1四半期の届出数は343件に上った。届出全体の42%を占めている。
次いで届出が多かったのは、XSSの脆弱性。届出件数は334件で、全体の41%。IPAによれば、Webページの軽微な「出力処理」の追加で脆弱性を作り込んでしまった事例や、脆弱性対策が誤っていた事例などがあったとしている。SQLインジェクションの脆弱性は100件の届出が寄せられ、全体の12%を占めた。
脆弱性が指摘されたWebサイトの運営者の内訳は、企業が42%で最多。以下は地方公共団体が34%、団体(協会・社団法人)が10%、教育・学術機関が6%、政府機関が4%と続いた。また、対象サイトを重要インフラの業種で分類すると、政府・行政サービスが36%、情報通信が11%、医療が3%、金融が1%などで約半数を占めていたという。
|
IPAが脆弱性の届出を受理した対象サイトを重要インフラ別に見た割合(左)とサイトの脆弱性の種類
|
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/security/vuln/report/vuln2009q1.html
■関連記事
・ DNSキャッシュポイズニングの脆弱性、届出が急増、IPAまとめ(2008/10/14)
( 増田 覚 )
2009/04/22 11:11
- ページの先頭へ-
|