IPAとJPCERTから脆弱性届出情報の報告。
SQLインジェクションは被害のニュースが多かったのが影響しているだろうけど、DNSもだいぶ注意をひいているんだなあ。
DNSキャッシュポイズニング、SQLインジェクション攻撃が増加中 - セキュリティ - ZDNet Japan
独立行政法人情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は1月26日、2008年第4四半期(10月~12月)におけるソフトウェアなどの脆弱性関連情報の届出状況を明らかにした。
2008年第4四半期の特徴は大きく2つ。1つ目は、DNSキャッシュポイズニングの脆弱性の届出が激増した
2つ目はSQLインジェクションの脆弱性の届出が増加した
第4四半期の届出状況については、ソフトウェア製品に関するものが60件、ウェブアプリケーション(ウェブサイト)に関するものが1430件の合計1490件であった。2004年7月に届出受付を開始してからの累計は、ソフトウェア製品に関するものが861件、ウェブサイトに関するものが3514件の合計4375件となっている。
ウェブ関連がさらに増えている。
関連ニュースでは対応状況にも言及。
半数が開発時にセキュリティを意識しているっていうのは、むしろ多い気がした。ほんとかなあと。
深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視:Security NEXT
ウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。
SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。
また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。
Leave a comment