Webシステム関連の脆弱性が多数届出、SQLインジェクションも増加――IPA/ISEC

情報処理推進機構セキュリティセンターが、2005年第4四半期(10月〜12月)の脆弱性関連情報の届出状況をまとめ、公開した。

» 2006年01月16日 18時19分 公開
[高橋睦美,ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)は1月16日、2005年第4四半期(10月〜12月)の脆弱性関連情報の届出状況をまとめ、公開した。

 脆弱性情報の届出制度は、「情報セキュリティ早期警戒パートナーシップ」に基づいて2004年7月より実施されている。ソフトウェアやWebアプリケーションに存在する脆弱性情報をIPAが受け付け、開発者やWebサイト運営者に対応を促すことで、被害を未然に防ぐことが目的だ。

 2005年第4四半期の間に届け出られたソフトウェア製品の脆弱性情報は39件で、オープンソースソフトウェアに関する届出が15件と3分の1以上を占めた。また、Webアプリケーションの脆弱性関連情報は56件に上った。制度発足後の推移は以下のとおりとなる。

期間 2004年Q3 2004年Q4 2005年Q1 2005年Q2 2005年Q3 2005年Q4 合計
ソフトウェア製品に関する届出 19 13 12 18 32 39 133
Webアプリに関する届出 73 67 71 66 102 56 435
合計 92 80 83 84 134 95 568

脆弱性の傾向

 累計133件に上るソフトウェア製品の脆弱性情報の処理状況を見ると、問題が修正されるなどして公表されたのは54件(うち2005年第4四半期分は13件)、開発者により「脆弱性ではない」と判断されたものは15件(同3件)。不受理とされたものは23件(同6件)だ。

 脆弱性の種類を見ると、「Webブラウザ」に関するものが最多で24%、次が「Webアプリケーション構築関係」で14%に上った。また原因の内訳を見ても「Webアプリケーションの脆弱性」が36%となり、全般にWebに関連する脆弱性が多く存在することが分かる。

 一方、Webアプリケーションの脆弱性の処理状況は、累計435件のうち修正が完了したのは234件(うち2005年第4四半期分は57件)。Webサイト運営者が脆弱性ではないと判断したのは37件(同8件)、運用で回避したケースは8件(同2件)、当該ページの削除で対処したものは13件(同1件)となった。

 中には、Webサイト運営者と連絡が取れないため取り扱い不可能なケースも31件あった。ただしそのうち13件ではサイト運営者の代わりにレンタルサーバ会社と連絡を取るなどして修正が確認されているほか、7件では当該ページ自体の削除が確認されたという。

 Webサイト運営者に脆弱性の詳細情報を通知してからそれが修正されるまでの日数で最も多いのは「31日〜50日」。全体の85%が100日以内に修正される結果となっており、17件では通知された当日のうちに修正が行われた。

 Webアプリケーションの脆弱性を種類別に見ると、最も多いのはクロスサイトスクリプティングの脆弱性で43%。次はSQLインジェクション(18%)で、IPAによると届出が増加しているという。

 IPAでは、SQLインジェクションの届出があったWebサイトのうち「約6割のWebサイトで、SQLエラー表示が出ているだけでなく実際にSQLコマンドが挿入できる状態にあった」と指摘し、Webサイト運営者に対し、改めて手元のWebアプリケーションの状況をチェックするよう推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ