ウェブサイトの脆弱性届出、大半がXSSで200件超
独立行政法人情報処理推進機構(IPA)が、7月~9月の脆弱性関連情報に関する届出状況を発表しました。
グラフを見ると前四半期から急激にウェブサイトに関する届出が増えています(今期は全体の7割)。
届出された脆弱性がもたらす影響別の内訳については、2019年第3四半期では「本物サイト上への偽情報の表示」が237件、「個人情報の漏えい」が14件だった。累計では「本物サイト上への偽情報の表示」「ドメイン情報の挿入」「データの改ざん、消去」が全体の約8割を占める。
引用:https://internet.watch.impress.co.jp/docs/news/1214494.html
これは四半期ごとに発表しているもので、脆弱性関連情報の届出件数をまとめています。
脆弱性の届け出と合わせて、修正完了状況や連絡が取れない製品開発者の公表状況なども発表しています。
参考:https://www.ipa.go.jp/security/vuln/report/vuln2019q3.html
─ YODOQの見方───────────────────────────
脆弱性は、日々新しいものが発見されたり、(残念ながら)作り込まれてしまったりしています。
今回、届出の多かったクロスサイトスクリプティング(XSS)は、ユーザーがWebページを閲覧する際に、任意のスクリプトが紛れ込み実行されてしまう脆弱性および攻撃方法です。Webを閲覧しているPCなどで不正なスクリプトを実行させるため、他の被害へ繋がっていきやすいと言えます。
Webページを管理している側の対策はもちろん必要ですが、利用者も適切な対策をしておくべきです。
ブラウザを最新にバージョンアップしたり、スクリプト実行を無効にする、電子メールで送られてくる不審なURLをクリックしないなどの対策がとれます。普段、何気なくおこなっているWebページやメールの閲覧にも気を配り、用心することで被害を防ぐことができます。
参考:https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/xss.html
■備考
・情報セキュリティ早期警戒パートナーシップ
ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るための取り組み
・IPA
日本でのIT戦略を技術面、人材面から支えるために設立された法人