2010年10月27日

ウェブサイトの脆弱性最新情報(独立行政法人情報処理推進機構(IPA)2010年第3四半期(7月〜9月))

個人情報漏洩などの被害防止のために、ネットショップサイト運営者は、安全管理対策と
してサイトの脆弱性についても注意を払っていることと思います。
常に最新情報を収集し、適切な対応が迅速にできるよう、安全管理体制を整えておきたい
ですね。

独立行政法人情報処理推進機構(IPA)から、2010年第3四半期(7月〜9月)の脆弱性関
連情報が報告されました。
今回、特にウェブサイトの脆弱性の種類や最近の傾向、注意点などをご紹介します。併せ
て、安全管理対策のための参考サイトや相談窓口などもご活用ください。
------
ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第3四半期(7月〜9月)]
http://www.ipa.go.jp/security/vuln/report/vuln2010q3.html
------

●3大脆弱性「クロスサイト・スクリプティング」、「SQLインジェクション」、「セッショ
ン管理の不備」は対策必須!

今年7月〜9月の脆弱性の種類で多かったのは、「クロスサイト・スクリプティング」、「SQL
インジェクション」、「セッション管理の不備」となっており、2009年10月から2010年9月末
までの1年間においてもその順位は変わっていません。

ウェブサイトの脆弱性の種類.bmp

● セッション管理や認証の脆弱性増加の予兆も!対策を!
2009年第4四半期以降の四半期別届出割合の推移を見ると、「クロスサイト・スクリプテ
ィング」の届出が大幅に減少(前四半期:88件、今四半期:25件)し、代わりに、「SQL
インジェクション」(前四半期:9件、今四半期:23件)、「セッション管理の不備」」(前四
半期:4件、今四半期:11件)の届出が大幅に増加しています。

四半期別 脆弱性の種類別届出割合.bmp

届出件数:
2009年4Q 127件/2010年1Q 139件/2010年2Q 120件/2010年3Q 73件

「セッション管理の不備」や「認証に関する不備」については、届出全体に占める比率は
まだ小さいですが、件数は増加しています。2009年9月末までの5年3か月間の累計と、
2009年10月から2010年9月末での1年間の件数を比較すると、「セッション管理の不備」
が40件/26件、「認証に関する不備」が29件/19件となっており、この1年、急激に増
加しています。

これらの脆弱性は、携帯電話向けのウェブサイトや、複数のウェブサイト(ウェブページ)
間で連携する機能を持ったソーシャルネットワーキングサービス(SNS)等のウェブサイ
トに対する届出が、最近特に増えています。

最後に、ウェブサイトの脆弱性対策の参考となるIPAのサイトと相談窓口を紹介します。

脆弱性対策 最新情報とサポート資料
http://www.ipa.go.jp/security/vuln/index.html
脆弱性についての注意喚起や対策情報のデータベースなど最新情報を提供しています。
また、脆弱性に関する基礎知識や適切なセキュリティを実装したウェブサイトの作り方な
ど、サポート資料もあります。

情報セキュリティ安心相談窓口
http://www.ipa.go.jp/security/anshin/ 
情報セキュリティ関連の相談に一元的に対応する窓口です。マルウエア(※)や不正アク
セスについての相談を受付け、技術的なアドバイスを行います。相談の多い内容は「よく
ある相談と回答(FAQ)」に掲載されています。

(※)マルウエア
コンピュータの利用者が意図しない動作をする不正プログラムの総称で、以下のような
ものがあります。
・コンピュータウイルス 
・個人情報を盗むキーロガー、リモートから不正にパソコンを操作するバックドアなどの
スパイウェア
・強制的に広告を表示するアドウェア
・嘘の情報で購入を促す偽セキュリティ対策ソフト
・アダルトサイト等の請求画面を表示しつづけるワンクリウェア

--------------------------------------------
◆顧客サービス力、チェックしてみませんか!

顧客満足度調査
http://www.fides-cd.co.jp/category/ser01-02/
--------------------------------------------

-------------------------------------------------
fidesロゴ2.jpg  ネットショップの信頼性をカタチにします
  ECコミュニケーションデザイン フィデス
         http://www.fides-cd.co.jp

        *このサイトのご利用に際して
-------------------------------------------------
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック