【注意喚起】SQLインジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を

　昨年2月以降、中国のWooYun^（*1）というポータルサイトで、SQLインジェクションの脆弱性が存在する日本のウェブサイトが約400件登録されていることが判明しました。これらの脆弱性は悪用された場合、ウェブサイトの改ざん・破壊、情報窃取などの被害を及ぼす可能性がありました。

　この件数は、2004年の「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度（以降、本制度）」発足から2016年までに届出されたSQLインジェクションの脆弱性、1,055件の38%に相当します。
　このことから、IPAではこの他にも脆弱性が存在するウェブサイトが相当数存在し、その原因はセキュリティを考慮したウェブサイト構築と検証がいまだほとんど実践されていないことにあると考えています。

　そこで、IPAでは改めて安全なウェブサイトの運営・維持に向け、SQLインジェクションをはじめとした脆弱性の再点検と改修を促すため、注意喚起を行います。ウェブサイト運営者は脆弱性検査を至急実施してください。

　また、脆弱性の存在が判明した約400件のウェブサイトは日本において、不正アクセス禁止法に抵触する方法により検出された可能性があると指摘されています。
　通常、本制度では、法律に抵触する方法により検出された脆弱性は“取り扱い対象外”としています。しかし、日本国内における脅威が看過できないことから、IPAでは特例的にその内248件のウェブサイトの運営者に対し、ひとまず脆弱性の存在を連絡しているところです。248件のウェブサイト運営者の内訳は以下のとおりです。

図 ウェブサイト運営者主体内訳

　ウェブサイトにおいて例えば入力フォームを用意し、情報の収集の仕組みを設けている場合などは、仮にウェブサイトで個人情報を収集・管理していなくても、ウェブサイトの改ざんなどの攻撃を受ける可能性があります。
　そのため、SQLインジェクションはもちろんのこと、その他の脆弱性の有無についても再点検する必要があります。

　なお、IPAでは以下の各種資料を公開し、脆弱性有無の点検、および脆弱性を作り込まない実装方法などを解説しています。

　これらを活用し、ウェブサイトの点検・改修が進むことを願うとともに、セキュリティ意識の高いウェブサイト運営者および開発者が増えることを期待しています。

脚注

（*1）中国の脆弱性情報のポータルサイト。発見者が登録（投稿）したウェブサイトおよびソフトウェア製品の脆弱性情報についてコーディネーションしている。WooYun には「発見者同士の技術力向上などを目的とした、発見者同士のコミュニティ」「脆弱性情報を収集し、ウェブサイト運営者や製品開発者へ情報を提供するための脆弱性情報ポータルサイト」という 2 つの機能（側面）がある。なお、現在は閉鎖状態。

本件に関するお問い合わせ先

IPA　技術本部　セキュリティセンター　田中（里）／板橋
Tel: 03-5978-7527　Fax: 03-5978-7518　E-mail：

更新履歴