Webサイトの脆弱性対応、15%に再修正の指摘
脆弱性を修正したWebサイトのうち、15%は対応が不十分として再修正の指摘を受けていたとIPAらが発表した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月16日、7月〜9月期の脆弱性関連情報の届け出状況を発表した。脆弱性を指摘されて対応したWebサイトのうち、15%は再修正の指摘を受けていた。
期間中の届け出件数は、ソフト製品に関するものが39件、Webサイトに関するもの131件の計170件。2004年7月8日からの累計はソフト製品関連が994件、Webサイト関連が4832件の計5826件で、Webサイト関連が全体の83%を占めた。
Webサイト関連では、IPAが届け出を基にサイト運営者へ脆弱性を指摘し、運営者で修正を完了した2009年1〜9月で779件あった。うち120件(15%)では完了後に再度指摘があり、内訳は「修正が不十分」が69件(9%)、「異なる場所にも脆弱性が存在」が51件(6%)だった。
再度指摘のあった脆弱性の内訳。修正が不十分(左)と異なる場所にも脆弱性が存在のケースWebサイト運営者別での再指摘の割合は、個人が57%、企業が23%、団体(協会・社団法人)16%)など。不十分として再指摘された脆弱性の種類は、クロスサイトスクリプティング(XSS)が70%、SQLインジェクションが14%、DNS情報の設定不備が12%、HTTPレスポンス分割が4%だった。
IPAとJPCERT/CCは、特にXSSの脆弱性について情報を出力する処理に起因することが多く、一般的にWebアプリケーションには出力処理が多数存在するため、ほかの脆弱性に比べて多数存在してしまう傾向にあると指摘する。
脆弱性を修正する場合は、確認を十分にするとともに、別の場所に同様な脆弱性が存在していないかの確認も併せて実施する。XSSのような複数の場所に存在する可能性が高い脆弱性は、Webサイト全体を確認して、場合によっては設計にさかのぼって見直すことも必要と、アドバイスしている。
関連記事
- 脆弱性対応が遅れる企業でマルウェア被害が継続、マカフィー調べ
マカフィーは、既知の脆弱性を悪用するマルウェア感染が広がっていると警告した。 - IPAとJPCERT/CC、脆弱性対応のガイドラインを改訂へ
IPAとJPCERT/CCは、「情報セキュリティ早期警戒パートナーシップ」における脆弱性情報の取り扱いに関するガイドラインを改訂した。 - Web関連の脆弱性届出件数が急増、IPAが発表
IPAによると、7〜9月期はDNSキャッシュ汚染問題でWeb関連の脆弱性報告が急増した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。