IPA(情報処理推進機構)セキュリティセンターは1月25日、SQLインジェクションをはじめとしたWebサイトの脆弱性の再点検と速やかな改修について、注意喚起を発表した。

IPAによると、昨年2月以降、中国のWooYunというポータルサイトで、SQLインジェクションの脆弱性が存在する日本のWebサイトが約400件登録されていることが判明したという。

この件数は、2004年の「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度」発足から2016年までに届出が行われたSQLインジェクションの脆弱性である1055件の38%に相当する。

これにより、IPAはさらに脆弱性が存在するWebサイトが相当数存在し、その原因はセキュリティを考慮したWebサイト構築と検証がほとんど実践されていないことにあると考えている。

そこで今回、SQLインジェクションをはじめとした脆弱性の再点検と改修を促すため、Web運営者に対し脆弱性検査を至急実施するよう、注意喚起を実施したとしている。

なお、脆弱性の存在が判明した約400件のWebサイトは、国内では不正アクセス禁止法に抵触する方法により検出された可能性があると指摘されている。

同制度では、法律に抵触する方法により検出された脆弱性は「取り扱い対象外」とされているが、国内における脅威が看過できないことから、IPAは特例的にその内248件のウェブサイトの運営者に脆弱性の存在を連絡しているという。248件のWebサイト運営者の内訳は下表のとおり。

Webサイトにおいて入力フォームを用意し、情報の収集の仕組みを設けている場合は、仮にWebサイトで個人情報を収集・管理していなくても、Webサイトの改竄などの攻撃を受ける可能性があるという。