セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 脆弱性対策情報データベースへの登録状況からみる傾向

脆弱性対策情報データベースへの登録状況からみる傾向

脆弱性対策情報データベースへの登録状況からみる傾向
目次
  • 今回の解説ニュース
  • 情報登録件数1位、クロスサイトスクリプティングの脅威
  • 脆弱性報告数にApple製品が上位を占めた背景は?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

2022年第3四半期の「JVN iPedia」登録状況、アップル製品が上位を占める

独立行政法人情報処理推進機構(IPA)は10月20日、2022年第3四半期(7月から9月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

脆弱性対策情報の登録状況が、脆弱性別と製品別について発表されています。多く見つかった脆弱性の内容や、特定の製品に集中して脆弱性が発見されている理由について説明します。

2022年7月から9月におけるJVN iPedia日本語版へ登録された脆弱性対策情報は4,459件で、累計登録件数が148,266件になったということです。

件数が多かった脆弱性は、「クロスサイトスクリプティング」が678件、「境界外書き込み」が336件、「境界外読み取り」が192件、「SQLインジェクション」が169件、「パス・トラバーサル」が120件などとなっています。製品別登録状況では、1位が「Qualcomm component」、2位が「macOS」、3位が「iOS」、4位が「Apple Mac OS X」、5位が「iPadOS」であったということです。

情報登録件数1位、クロスサイトスクリプティングの脅威

クロスサイトスクリプティング、略してXSSの脅威として、他の脆弱性と組み合わせることによって、XSSの脆弱性の被害を受けたユーザの権限が攻撃者に乗っ取られる可能性があります。

ご覧の皆さんへおさらいの意味も込めて、クロスサイトスクリプティングとは、XSSと略される、主にWebアプリケーションで発生する脆弱性です。攻撃者はXSSの脆弱性のあるWebサイトにスクリプトを埋め込むことで、被害者がWebサイトへアクセスした際に、被害者の情報を窃取するなどの攻撃に悪用することができます。

例えば、AさんがXSSの存在するECサイトで脆弱性を悪用した攻撃を受けたとします。Aさんがログイン済みの状態でXSSを悪用した攻撃を受けると、アクセスしている人がAさんであることをECサイト側で認識する情報が、攻撃者に奪われてしまう可能性があります。

仮に、そのAさんがECサイトの管理者であった場合、ECサイトの個人情報や、場合によってはECサイトの設定を変更する権限まで奪われてしまいますので、結果としてフィッシングサイトやマルウェアの配布に、ECサイトが悪用されてしまう可能性があります。

これらの被害が実際に発生するためには、複数の脆弱性が同時に悪用されることが必要になりますが、実際にECサイトのXSSが原因で、クレジットカード情報が漏えいした可能性のあるインシデントが多数確認されています。

脆弱性報告数にApple製品が上位を占めた背景は?

Apple製品について脆弱性対策情報の登録が多かった理由として、製品のユーザが多いこと以外に、一つの脆弱性が発見された際に、同様の問題が存在していないか、追加で調査された可能性があります。

例えば、毎週Webラジオの編集をしてくれている方が作業の流れとして、タイトルの書き方であったり、チャプターの入れ方であったり、一定のルールに従って毎週対応しているとします。仮に、そのやり方に間違いがあった場合、過去の配信も含めて修正する必要が出てきてしまうことは、想像がつくのではないでしょうか。

このように、同じ企業でつくられた製品は、同じルールに基づいた設計で開発されていることで、一つの脆弱性が発見された際に、複数の問題が立て続けに発見されることがあります。また、そのような状況を鑑みて、一つの脆弱性が発見された際に、多くのセキュリティ研究者が調査を試みるという背景も影響しているかもしれません。

よって、脆弱性が公表された際に、同じ企業や製品を利用していないか確認したり、警戒レベルを上げたりすることも、有効なセキュリティ対策の一つとなります。

今回は、第3四半期で登録件数が多かった脆弱性対策情報の傾向と対策についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ