ニュース
ウェブサイトの脆弱性、90日以内に6割超が修正 2018年第4四半期の脆弱性届出状況
2019年1月25日 06:15
独立行政法人情報処理推進機構(IPA)は24日、2018年第4四半期における脆弱性関連情報に関する届出状況を発表した。
ウェブサイトに関する届出数は36件で、脆弱性の種類別の内訳は、「クロスサイト・スクリプティング」が19件、「SQLインジェクション」が3件など。脆弱性がもたらした影響別の内訳は、「本物サイト上への偽情報の表示」が19件、「データの改ざん、消去」が3件、「なりすまし」が3件だった。
なお、ウェブサイト運営者に脆弱性関連情報が通知されてから90日以内に全体の65%が修正対応を行っていた。
2018年通年はウェブサイトにおけるSQLインジェクションの届出が2017年の約2.5倍となる46件に上った。このうち、調整機関などによる対応が終わったものにおいて、約30%のウェブサイト運営者がWeb Application Firewall(WAF)によって対策が行われている、または対策を行ったため、問題はないと回答している。
IPAによれば、ウェブアプリケーションを修正するよりも早く、安価に一定のセキュリティを確保できることからWAFを採用するウェブサイト運営者が増加しているという。しかし、WAFは攻撃による影響を低減する運用面での対策となるため、脆弱性そのものが無くならないこと、設定の内容や攻撃の方法によっては防御を回避され、脆弱性を悪用されるリスクがあると注意を促している。
そのため、ウェブアプリケーションの実装に脆弱性が存在する場合は、実装の修正による根本的な対策を実施することを推奨している。また、資料として公開されている「Web Application Firewall(WAF)読本」を活用することも勧めている。