ニュース
» 2009年10月16日 15時55分 公開

Webサイトの脆弱性対応、15%に再修正の指摘

脆弱性を修正したWebサイトのうち、15%は対応が不十分として再修正の指摘を受けていたとIPAらが発表した。

[ITmedia]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月16日、7月〜9月期の脆弱性関連情報の届け出状況を発表した。脆弱性を指摘されて対応したWebサイトのうち、15%は再修正の指摘を受けていた。

 期間中の届け出件数は、ソフト製品に関するものが39件、Webサイトに関するもの131件の計170件。2004年7月8日からの累計はソフト製品関連が994件、Webサイト関連が4832件の計5826件で、Webサイト関連が全体の83%を占めた。

 Webサイト関連では、IPAが届け出を基にサイト運営者へ脆弱性を指摘し、運営者で修正を完了した2009年1〜9月で779件あった。うち120件(15%)では完了後に再度指摘があり、内訳は「修正が不十分」が69件(9%)、「異なる場所にも脆弱性が存在」が51件(6%)だった。

再度指摘のあった脆弱性の内訳。修正が不十分(左)と異なる場所にも脆弱性が存在のケース

 Webサイト運営者別での再指摘の割合は、個人が57%、企業が23%、団体(協会・社団法人)16%)など。不十分として再指摘された脆弱性の種類は、クロスサイトスクリプティング(XSS)が70%、SQLインジェクションが14%、DNS情報の設定不備が12%、HTTPレスポンス分割が4%だった。

 IPAとJPCERT/CCは、特にXSSの脆弱性について情報を出力する処理に起因することが多く、一般的にWebアプリケーションには出力処理が多数存在するため、ほかの脆弱性に比べて多数存在してしまう傾向にあると指摘する。

 脆弱性を修正する場合は、確認を十分にするとともに、別の場所に同様な脆弱性が存在していないかの確認も併せて実施する。XSSのような複数の場所に存在する可能性が高い脆弱性は、Webサイト全体を確認して、場合によっては設計にさかのぼって見直すことも必要と、アドバイスしている。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -