ウェブサイトの脆弱性、90日以内に6割超が修正　2018年第4四半期の脆弱性届出状況

　独立行政法人情報処理推進機構（IPA）は24日、2018年第4四半期における脆弱性関連情報に関する届出状況を発表した。

　ウェブサイトに関する届出数は36件で、脆弱性の種類別の内訳は、「クロスサイト・スクリプティング」が19件、「SQLインジェクション」が3件など。脆弱性がもたらした影響別の内訳は、「本物サイト上への偽情報の表示」が19件、「データの改ざん、消去」が3件、「なりすまし」が3件だった。

ウェブサイトの脆弱性の種類別届出状況

ウェブサイトの脆弱性がもたらす影響別の届出状況

　なお、ウェブサイト運営者に脆弱性関連情報が通知されてから90日以内に全体の65％が修正対応を行っていた。

ウェブサイトの修正に要した日数

　2018年通年はウェブサイトにおけるSQLインジェクションの届出が2017年の約2.5倍となる46件に上った。このうち、調整機関などによる対応が終わったものにおいて、約30％のウェブサイト運営者がWeb Application Firewall（WAF）によって対策が行われている、または対策を行ったため、問題はないと回答している。

　IPAによれば、ウェブアプリケーションを修正するよりも早く、安価に一定のセキュリティを確保できることからWAFを採用するウェブサイト運営者が増加しているという。しかし、WAFは攻撃による影響を低減する運用面での対策となるため、脆弱性そのものが無くならないこと、設定の内容や攻撃の方法によっては防御を回避され、脆弱性を悪用されるリスクがあると注意を促している。

　そのため、ウェブアプリケーションの実装に脆弱性が存在する場合は、実装の修正による根本的な対策を実施することを推奨している。また、資料として公開されている「Web Application Firewall（WAF）読本」を活用することも勧めている。