2010年4月27日(火曜日)

届出状況2010Q1

公開: 2010年1月29日23時15分頃

2010年Q1の届出状況が公開されました: 「ソフトウェア等の脆弱性関連情報に関する届出状況 [2010年第1四半期（1月～3月）]」。 (www.ipa.go.jp)

ウェブサイトの届出が5000件を突破だそうで。昔はごく少数の人だけが利用していたような印象がありましたが、けっこう定着してきた感じがしますね。

携帯サイトに関しては、以下のように注意を喚起しています。

(1) 2009 年度に届出られた携帯サイトの脆弱性の1/3 以上が「なりすましの危険性あり」
IPA には、パソコン向けのウェブサイトの脆弱性だけでなく、携帯電話向けのウェブサイト（以降、携帯サイト）に関する脆弱性も届出られています。届出られた脆弱性に関して携帯サイトの脆弱性には、「セッション管理の不備」や「認証に関する不備」といった、他人になりすますことが可能となる脆弱性が多いという特徴があります。2009 年度に届出られた脆弱性のうち、そのような脆弱性の占める割合は、ウェブサイト（携帯サイトを含む届出全体）の場合が4%であるのに対し、携帯サイトの場合は37%を占めています。
このように、携帯サイトに関しても深刻な脆弱性があることから、その運用にあたってはパソコン向けウェブサイトと同様に十分な脆弱性対策が求められます。

携帯サイトはPCサイトよりもセッション、認証まわりの脆弱性の比率が多いというお話。携帯サイトの認証まわりのひどさについては、最近話題になっていますね。携帯サイトはPCからアクセスできないことが多く、XSS検査文字列を入れるのが面倒なので、XSSが発見されにくいという事情もあるのでしょう。

※「携帯サイトの1/3以上が……」ではなく「携帯サイトの脆弱性の1/3以上が……」であることにも注意。

今後、携帯サイトに関しては根本的な部分が問題になってくるものと思います。携帯サイトの運営者は、いろいろ準備しておいた方が良さそうですね。

「届出状況2010Q1」にコメントを書く

前(古い): 2010年4月24日(Saturday)のえび日記
次(新しい): 2010年4月30日(Friday)のえび日記