98％で「Struts 1」が稼働、半数以上がサポート終了したPHPを利用

サポートが終了したにも関わらず、旧バージョンを利用し続けるケースが目立っている。NRIセキュアテクノロジーズの調査によれば、ウェブアプリケーションの動作に大きく影響するミドルウェアではその傾向が顕著だった。

同社が提供するセキュリティ対策サービスを通じ、2013年度に得られたデータを調査分析し、取りまとめたもの。

ウェブアプリケーションについて診断を実施したところ、安全と診断されたケースは、582件中43％にとどまった。2009年以降改善傾向にあり、前年から6ポイント増となったものの、「危険（28％）」「注意（29％が）」をあわせると半数を超えている。

具体的に発見された脅威を見ると、クロスサイトスクリプティングの脆弱性が最多で調査対象の49％で発見された。「SQLインジェクション（16％）」「なりすまし（12％）」が続く。

また利用するソフトウェアのサポート状況についても調査を実施している。PHPがインストールされていた807サイトについて、稼働するPHPのバージョンについて調べたところ、すでにサポートを終了しているPHPを利用しているケースが、56％にのぼった。またサポート終了が近い「同5.3」の利用も38％に上る。

Apache Strutsに至っては、利用していた46サイトのうち、45サイトにおいて、2013年4月にサポートが終了した「Apache Struts 1」が稼働していたという。

「Apache」や「IIS」などHTTPサーバに関してはそれぞれ24％、4％がサポート切れだった。同社では、ウェブアプリケーションの動作に影響が大きいミドルウェアのアップデートが遅れていると分析している。

（Security NEXT - 2014/08/21 ） ツイート

PR

関連記事

ウェブ改ざん報告、1カ月あたり400件 - 前期下回るも依然高水準
標的型攻撃が約4倍に拡大、添付ファイルによる攻撃が中心
不正アクセスの届出増加、リフレクター攻撃目立つ - 「OpenSSL」の脆弱性狙う攻撃も
脆弱性DB「JVN iPedia」の登録件数は4万6860件に - 「バッファエラー」への攻撃が4割強
2014年第2四半期の脆弱性届出は329件 - ウェブサイトの届出が倍増
2014年2QのDDoS攻撃は前四半期から減少傾向 - 一方で巧妙な攻撃も
政府機関への攻撃は約508万件 - 2013年度年次報告
フィッシングサイトの割合が上昇 - お中元に便乗した詐欺サイトも
脆弱性放置のウェブサイトは閉鎖の検討を - IPAが注意喚起
脅威が利用するプロトコル、国内外でギャップ - パロアルト調査