CMS本体よりもプラグインやテーマの脆弱性が9割を占める--四半期レポート(IPA)
IPAは、2015年第1四半期における「ソフトウェア等の脆弱性関連情報に関する届出受付状況」を発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは41件(累計1,000件)で、このうち4件が製品開発者自身から届けられた自社製品の脆弱性の届出であった。今四半期に対策情報を公表した41件のうち、届出を受理してから公表までに46日以内だったものは9件(22%)であった。Webサイトの脆弱性関連情報の届出のうち、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したものは253件(累計6,194件)であった。修正を完了した253件のうち、Webアプリケーションを修正したものが183件(72%)、当該ページを削除したものが70件(28%)であった。
脆弱性の傾向としては、脆弱性対策情報を公開した41件のうち6件が、CMSである「WordPress」の機能を拡張する部品ともいえる「プラグイン」や「テーマ」に作りこまれた脆弱性であった。この6件の中にはWeb改ざんや情報漏えいつながる可能性のあるSQLインジェクションの脆弱性や、CAPTCHAによる画像認証機能が回避されてしまう脆弱性などがあった。今四半期までの合計は440 件で、そのうち90%に相当する398件がCMSの「拡張機能」の脆弱性対策情報であったという。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
-
東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」
-
東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出
-
豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし
-
デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ
-
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/44783.jpg)
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
-
ランサムウェア「LockBit」被疑者の資産を凍結し起訴