2009年度に届出あった携帯サイト「1/3以上がなりすましの危険性あり」 ~ IPA調べ | RBB TODAY

2009年度に届出あった携帯サイト「1/3以上がなりすましの危険性あり」 ~ IPA調べ

 情報処理推進機構(IPA)およびJPCERT/CCは27日、2010年第1四半期(1月~3月)の脆弱性関連情報の届出状況をまとめた資料を公表した。2009年度に届出られた脆弱性のうち他人になりすませる脆弱性は、携帯サイトでは37%を占めたという。

エンタープライズ セキュリティ
2009年度における携帯サイトとWebサイトの脆弱性の割合
  • 2009年度における携帯サイトとWebサイトの脆弱性の割合
  • Webサイトの脆弱性の修正完了件数
  • Webサイトの運営主体とWebサイトの脆弱性の種類(2010年1Q)
  • Webサイトの脆弱性種類別内訳(届出受付開始から2010年3月末まで)
  • Webサイトの脆弱性脅威別内訳(届出受付開始から2010年3月末まで)
 情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は27日、2010年第1四半期(1月~3月)の脆弱性関連情報の届出状況をまとめた資料を公表した。

 IPAには、パソコン向けのWebサイトの脆弱性だけでなく、携帯サイトに関する脆弱性も届出られている。届出られた脆弱性に関して、携帯サイトの脆弱性には、「セッション管理の不備」や「認証に関する不備」といった、他人になりすますことが可能となる脆弱性が多いという特徴がある。2009年度に届出られた脆弱性のうち他人になりすませる脆弱性は、Webサイト(携帯サイトを含む)全体で4%であるのに対し、携帯サイトでは37%を占めたという。携帯サイトにおいてもPCサイトと同様に、十分な脆弱性対策が求められていると言える。

 また、Webサイトの脆弱性の届出件数の累計が5,000件を突破した。2010年第1四半期の脆弱性関連情報の届出件数は171件だった。内訳は、ソフトウェア製品に関するものが32件、Webアプリケーション(Webサイト)に関するものが139件。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,050件、Webサイトに関するものが5,098件、合計6,148件となった。

 2004年7月の届出受付開始からのソフトウェア製品およびWebサイトの脆弱性の修正完了件数の累計は3,309件だった。このうち2009年1月から2010年3月末までの15か月で修正を完了した件数は1,638件であり、これまでに修正を完了した届出案件の約半分がこの期間に完了したことになるという。これは2008年第4四半期から2009年第1四半期にかけて、届出件数が増加したことにより取扱件数が増え、その結果、修正完了件数が増加したことが主な要因と考えられるとのこと。

 今四半期にIPAに届出のあったWebサイトの脆弱性関連情報132件(不受理を除く)について、対象Webサイトの運営主体別内訳は、企業合計が104件(79%)、地方公共団体が16件(13%)、教育・学術機関が3件(2%)、政府機関が3件(2%)、団体が3件(2%)となった。脆弱性の種類は、クロスサイト・スクリプティングが70件(53%)、SQLインジェクションが21件(16%)、HTTPSの不適切な利用14件(11%)、セッション管理の不備6件(5%)など。

 同調査では、届出受付開始から今四半期までにIPAに届出のあったウェブサイトの脆弱性関連情報5,098件についても分析しており、不受理のものを除いた4,958 件について、種類別内訳、脅威別内訳なども公開している。届出件数が多く広く知れ渡っている脆弱性は、悪意のある第三者に発見される可能性も高く、特に注意する必要があるとのこと。
《冨岡晶》

特集

page top