水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 届出状況2010Q1

届出状況2010Q1

2010年4月27日(火曜日)

届出状況2010Q1

公開: 2010年1月29日23時15分頃

2010年Q1の届出状況が公開されました: 「ソフトウェア等の脆弱性関連情報に関する届出状況 [2010年第1四半期(1月~3月)]」。 (www.ipa.go.jp)

ウェブサイトの届出が5000件を突破だそうで。昔はごく少数の人だけが利用していたような印象がありましたが、けっこう定着してきた感じがしますね。

携帯サイトに関しては、以下のように注意を喚起しています。

(1) 2009 年度に届出られた携帯サイトの脆弱性の1/3 以上が「なりすましの危険性あり」

IPA には、パソコン向けのウェブサイトの脆弱性だけでなく、携帯電話向けのウェブサイト(以降、携帯サイト)に関する脆弱性も届出られています。届出られた脆弱性に関して携帯サイトの脆弱性には、「セッション管理の不備」や「認証に関する不備」といった、他人になりすますことが可能となる脆弱性が多いという特徴があります。2009 年度に届出られた脆弱性のうち、そのような脆弱性の占める割合は、ウェブサイト(携帯サイトを含む届出全体)の場合が4%であるのに対し、携帯サイトの場合は37%を占めています。

このように、携帯サイトに関しても深刻な脆弱性があることから、その運用にあたってはパソコン向けウェブサイトと同様に十分な脆弱性対策が求められます。

携帯サイトはPCサイトよりもセッション、認証まわりの脆弱性の比率が多いというお話。携帯サイトの認証まわりのひどさについては、最近話題になっていますね。携帯サイトはPCからアクセスできないことが多く、XSS検査文字列を入れるのが面倒なので、XSSが発見されにくいという事情もあるのでしょう。

※「携帯サイトの1/3以上が……」ではなく「携帯サイトの脆弱性の1/3以上が……」であることにも注意。

今後、携帯サイトに関しては根本的な部分が問題になってくるものと思います。携帯サイトの運営者は、いろいろ準備しておいた方が良さそうですね。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト