is702

脆弱性の届出件数の累計が8,000件を超過 ― JPCERT/CC四半期レポート

2013/1/29

それによると、2012年第4四半期のIPAへの脆弱性情報の届出件数は220件。内訳はソフトウェア製品に関するものが44件、ウェブサイト(ウェブアプリケーション)に関するものが176件でした。なお、届出のうち同期のうちに修正を完了したものは、ソフトウェア製品が25件(修正完了率55%)、ウェブサイトが113件(修正完了率70%)となっています。

これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,467件、ウェブサイトに関するものが6,700件、合計8,167件となりました。

JPCERT/CCでは、とくに注目すべき脆弱性として、「HTTPSの設定不備の脆弱性」「DOMベースのクロスサイトスクリプティングの脆弱性」を採り上げ、同様の脆弱性を作り込まないように、ウェブサイト運営者に注意を呼びかけています。

「HTTPSの設定不備の脆弱性」では、プライベートなCA局から発行されたサーバ証明書が使用されている、サーバ証明書の有効期限が切れたまま使用され続けている、個人情報入力ページにHTTPSが導入されていない、といった事例を紹介しています。

「DOMベースのクロスサイトスクリプティングの脆弱性」では、JavaScriptによるリファラ情報の解析処理に存在するアクセス解析ソフトの脆弱性など、DOMベースのクロスサイト・スクリプティング(DOM Based XSS)の脆弱性に焦点を当て、対策が実施済みであるかの確認が必要だとしています。

「ソフトウエア等の脆弱性関連情報に関する活動報告レポート2012年第4四半期(10月-12月)」は、全28ページのPDFファイルとなっており、JPCERT/CCのサイトからダウンロード・閲覧が可能です。

「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。