ウェブサイトの脆弱性届出が急増、大半がXSSで400件超～2019年第2四半期IPA報告

　独立行政法人情報処理推進機構（IPA）は24日、2019年第2四半期（4月1日～6月30日）における脆弱性関連情報に関する届出状況を発表した。

　ウェブサイトの脆弱性に関する届出数は444件で、脆弱性の種類別の内訳は、「クロスサイト・スクリプティング」（XSS）が415件、「ファイルの誤った公開」が5件など。2004年7月8日からの累計では、「クロスサイト・スクリプティング」が5割以上を占めており、「DNS情報の設定不備」「SQLインジェクション」などが続く。

　なお、ウェブサイトの脆弱性に関する届出数が前四半期（1月～3月）から急増しているが、その背景・要因は不明だという。

脆弱性の届出件数の四半期ごとの推移

ウェブサイトの脆弱性の種類別届出状況

　届出された脆弱性がもたらす影響別の内訳について、2019年第2四半期では「本物サイト上への偽情報の表示」が415件、「なりすまし」が9件だった。累計では「本物サイト上への偽情報の表示」「ドメイン情報の挿入」「データの改ざん、消去」が全体の約8割を占める。

ウェブサイトの脆弱性がもたらす影響別の届出状況

　ウェブサイトの脆弱性届出の処理状況について、同四半期中に取り扱いを終了したものは189件。このうち171件は、ウェブサイト運営者へ脆弱性関連情報を通知してから90日以内に修正が完了したものになる。

ウェブサイトの修正に要した日数

　IPAからウェブサイト運営者へ脆弱性関連情報を通知してから、90日以上修正が反映されていないものは、合計で279件だった。1000日以上経過しているものは209件で、脆弱性の種類別の内訳は、XSSが82件、SQLインジェクションが46件など。

取り扱いが長期化している届出の取扱経過日数と脆弱性の種類