届出状況2010Q3
2010年10月21日(木曜日)
届出状況2010Q3
公開: 2010年10月24日21時20分頃
2010年Q3の届出状況が公開されました……ソフトウェア等の脆弱性関連情報に関する届出状況 [2010年第3四半期(7月~9月)] (www.ipa.go.jp)。
また、これらの脆弱性の種類は、クロスサイト・スクリプティングが25件(36%)、SQLインジェクションが23件(33%)、セッション管理の不備が11件(16%)などとなり(図5)、前四半期と比較して、「クロスサイト・スクリプティング」の届出が大幅に減少(前四半期:88件、今四半期:25件)し、代わりに、「SQLインジェクション」(前四半期:9件、今四半期:23件)、「セッション管理の不備」(前四半期:4件、今四半期:11件)の届出が大幅に増加しています。
うーむ、XSS大幅減少ですか。減る理由は無さそうなので、届出者が忙しかったとかそういった話なのかも。
また、2009年第4四半期以降、四半期別に届出割合の推移を見ると、セッション管理の不備及び、認証に関する不備の届出が目立ってきています(図8)。届出全体に占める比率はまだ小さいものの、本届出制度開始から2009年9月末までの5年3か月間の累計がそれぞれ40件、29件であったものが、2009年10月から2010年9月末での1年間でそれぞれ26件、19件となっています。(図9)。
これらの脆弱性に関する届出は、携帯電話向けのウェブサイトや、複数のウェブサイト(ウェブページ)間で連携する機能を持ったソーシャルネットワーキングサービス(SNS)等のウェブサイトに対するものが、最近特に増えています。
ケータイサイトや謎のIDを引き回すようなサービスの話がどばっと出てきたという話ですかね。複数のウェブサイト間で連携するSNSというとサンシャイン牧場の脆弱性を思い出しますが、似たような話が結構あるのでしょうか。
- 「届出状況2010Q3」にコメントを書く
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ