プレスリリース 2017 年 1 月 25 日 独立行政法人情報処理推進機構 注意喚起 SQL インジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を ~脆弱性が確認された国内ウェブサイト 248 件のうち、67%は一般企業~ IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、日本国内に依然 SQL インジェクション(*1)をはじめとした脆弱性が残存したままのウェブサイトが数多く存在しており、修正・解消 に向けた対策が一向に進んでいないことを憂慮し、ウェブサイトの脆弱性について再点検と改修を促すため、注 意喚起を行います。ウェブサイト運営者は脆弱性検査を至急実施してください。 URL:https://www.ipa.go.jp/security/announce/website_vuln.html 昨年 2 月以降、中国の WooYun(*2)というポータルサイトで、SQL インジェクションの脆弱性が存在する日 本のウェブサイトが約 400 件登録されていることが判明しました。これらの脆弱性は悪用された場合、ウェブサ イトの改ざん・破壊、情報窃取などの被害を及ぼす可能性がありました。 この件数は、2004 年の「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度(以降、本制度) 」発足 から 2016 年までに届出された SQL インジェクションの脆弱性、1,055 件の 38%に相当します。 このことから、IPA ではこの他にも脆弱性が存在するウェブサイトが相当数存在し、その原因はセキュリティ を考慮したウェブサイト構築と検証がいまだほとんど実践されていないことにあると考えています。 そこで、IPA では改めて安全なウェブサイトの運営・維持に向け、SQL インジェクションをはじめとした脆弱 性の再点検と改修を促すため、 注意喚起を行います。 ウェブサイト運営者は脆弱性検査を至急実施してください。 また、脆弱性の存在が判明した約 400 件のウェブサイトは日本において、不正アクセス禁止法に抵触する方法 により検出された可能性があると指摘されています。 通常、本制度では、法律に抵触する方法により検出された脆弱性は“取り扱い対象外”としています。しかし、 日本国内における脅威が看過できないことから、 IPA では特例的にその内248 件のウェブサイトの運営者に対し、 ひとまず脆弱性の存在を連絡しているところです。248 件のウェブサイト運営者の内訳は以下のとおりです。 ウェブサイト運営者の運営主体内訳(件数) 5 5 21 0% 企業(株式・上場) 119 20% 企業(株式・非上場) 25 40% 企業(その他) 35 60% 地方公共団体 80% 団体 教育・学術機関 27 65 100% 政府機関 個人 不明 図1 (*1) ウェブサイトの入力フォームなどへ SQL コマンド(データベースへの命令)を入力し、データベース内の情報が抜き出されたり、情報が書換えら れたり、破壊されたりする脆弱性のこと。 (*2) 中国の脆弱性情報のポータルサイト。発見者が登録(投稿)したウェブサイトおよびソフトウェア製品の脆弱性情報についてコーディネーション している。WooYun には「発見者同士の技術力向上などを目的とした、発見者同士のコミュニティ」 「脆弱性情報を収集し、ウェブサイト運営者 や製品開発者へ情報を提供するための脆弱性情報ポータルサイト」という 2 つの機能(側面)がある。なお、現在は閉鎖状態。 1 ウェブサイトにおいて例えば入力フォームを用意し、情報の収集の仕組みを設けている場合などは、仮にウェ ブサイトで個人情報を収集・管理していなくても、 ウェブサイトの改ざんなどの攻撃を受ける可能性があります。 そのため、SQL インジェクションはもちろんのこと、その他の脆弱性の有無についても再点検する必要があり ます。 なお、IPA では以下の各種資料を公開し、脆弱性有無の点検、および脆弱性を作り込まない実装方法などを解 説しています。 ■ 点検:テクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法 (ウェブアプリケーション検査編) 」 https://www.ipa.go.jp/security/technicalwatch/20160928-2.html ■ 改修: 「安全なウェブサイトの作り方」 「安全な SQL の呼び出し方」 https://www.ipa.go.jp/security/vuln/websecurity.html これらを活用し、ウェブサイトの点検・改修が進むことを願うとともに、セキュリティ意識の高いウェブサイ ト運営者および開発者が増えることを期待しています。 ■本件に関するお問い合わせ先 IPA 技術本部 セキュリティセンター 田中(里)/板橋 Tel: 03-5978-7527 Fax: 03-5978-7552 E-mail: [email protected] ■報道関係からのお問い合わせ先 IPA 戦略企画部 広報グループ 白石/山北 Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected] 2
© Copyright 2024 ExpyDoc
![「第 14 回情報セキュリティ EXPO[春]における設営及び運営等業務](http://s3.expydoc.com/store/data/011718899_1-321deb2717c9a26016237bdf7ad4948b-250x500.png)
