情報処理推進機構、ウェブサイトの脆弱性の再点検と改修を呼び掛け
2016年2月以降から中国の脆弱性情報のポータルサイト「WooYun」に、SQLインジェクションの脆弱性が存在する日本のウェブサイトが約400件登録されていることが明らかになった。これに対し、IPAでは、他にもウェブサイトの安全性が確保されずに脆弱性が存在するウェブサイトが多数あると考え、早急に再点検や改修を行うよう促している。
今回明らかになった約400件の脆弱なサイトは不正アクセス禁止法に抵触する方法により検出された可能性があると指摘され、本来は「取り扱い対象外」とされているが、IPAらが運営する「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度」での12年間に届け出のあったSQLインジェクションの脆弱性1055件の38%を占めていることから、今回は特例として248件のサイト運営者に脆弱性の存在を連絡している。多くのサイト運営者は大手・中小企業であるが、団体や教育・学術機関などにも連絡を行っている。脆弱性が悪用されると、ウェブサイトの改ざんや情報窃取などの恐れがあるため、SQLインジェクションだけでなく、その他の脆弱性の有無の点検が重要となる。
IPAでは脆弱性有無の点検や脆弱性を作りこまない実装方法の資料を公開し、ウェブサイトを再度点検・改修することで、セキュリティ意識の高い運営者や開発者が増えることを期待している。
