ニュース

ウェブサイトの脆弱性届出、大半がクロスサイトスクリプティングで200件超

2019年第3四半期IPA報告

 独立行政法人情報処理推進機構(IPA)は24日、2019年第3四半期(7月~9月)における脆弱性関連情報に関する届出状況を発表した。

 ウェブサイトの脆弱性に関する届出数は278件で、脆弱性の種類別の内訳は、「クロスサイト・スクリプティング(XSS)」が236件、「ファイルの誤った公開」が7件など。2004年7月からの累計では、XSSが58%を占めており、「DNS情報の設定不備」(13%)、「SQLインジェクション」(11%)などが続く。

脆弱性の届出件数の四半期ごとの推移
ウェブサイトの脆弱性の種類別届出状況

 届出された脆弱性がもたらす影響別の内訳について、2019年第3四半期では「本物サイト上への偽情報の表示」が237件、「個人情報の漏えい」が14件だった。累計では「本物サイト上への偽情報の表示」「ドメイン情報の挿入」「データの改ざん、消去」が全体の約8割を占める。

ウェブサイトの脆弱性がもたらす影響別の届出状況

 IPAからウェブサイト運営者へ脆弱性関連情報を通知してから90日以上修正した旨の報告がないものは297件で、前四半期の279件から微増。1000日以上経過しているものは218件で、脆弱性の種類別の内訳は、XSSが86件、SQLインジェクションが49件など。

取り扱いが長期化している届出の取り扱い経過日数と脆弱性の種類