Web サイトの90％に脆弱性

Web サイトのなかにはセキュリティの脆弱なサイトもあることぐらい誰でも知っている。しかしその割合が90％とは驚きだ。

WhiteHat Security が出した新しい調査報告書によると、10の Web サイトのうち9つまでが、攻撃者に突かれる可能性のある何らかの深刻な脆弱性を抱えているという。

WhiteHat が、『Fortune 500』誌企業のサイトを含む600以上のサイトについて調べた結果、インターネット全体によく見られる脆弱性がいくつも発見されたが、そのなかで最も多かったのはクロスサイト スクリプティング (XSS) の脆弱性だった。

実際、WhiteHat が調査した Web サイトの70％は何らかの XSS 攻撃の被害に遭う危険性があったという。次に多かったのは SQL インジェクションの被害を受ける可能性のある脆弱性だったが、その割合は XSS に比べて大幅に少なく、発見された脆弱性全体のわずか4％だった。

XSS の脆弱性は数年前から、有名企業のサイトでも数多く報告されており、IBM や Google のサイトも含まれている。

さらに悪いことに、報告された XSS 攻撃の脆弱性が修正されるまでに平均92日かかっている、と WhiteHat は付け加えている。

修正に時間がかかっている主な原因は、XSS の問題に対する認識が薄く、その深刻さが甘く見られていることが多いためだ、と WhiteHat の創立者兼 CTO の Jeremiah Grossman 氏は取材に応えて述べている。

また Grossman 氏によると、脆弱性を修正しなければならない開発者に IT セキュリティの職務が与えられておらず、他の仕事を優先することが多いのも原因の1つだという。

WhiteHat は今回、Web サイトの脆弱性管理を提供する SaaS ソリューション『WhiteHat Sentinel Services』を通じて統計データを集めた。同社は600を超えるサイトのセキュリティを管理しており、その中には米国の最大手企業も多数含まれているという。

今回の調査では業界ごとの分析結果も示されているが、最も成績の悪かったのは保険業界だった。同業界のサイトの84％に脆弱性が含まれていた、と WhiteHat は報告している。