midashi10924今週はma∝acシリーズのご紹介の予定でしたが、21日のtwitterの脆弱のことがありましたので、再度WAF関連のエントリーを続けさせていただきます。




すでに7月の発表となってしまいましたが、情報処理推進機構(IPA)より「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」が発表されています。


ipa情報処理推進機構(IPA)サイト














脆弱性の累計が6,300件と急増しています。さらに注目しておかなければならないのはソフトウエア製品が1,084件、そして、ウエブアプリケーションに関する届け出が累計5,218件と圧倒的に多いという点です。

IPAの分析によると、ウエブアプリケーション自体の届出数は2009年調査よりもわずかに減少したとのことですが、製品の幅が広がってしまっているということです。アプリケーション開発・実行環境やファイル管理ソフトなどの脆弱性も新たに加わったという報告も。

IPSは、「ウェブサイトの脆弱性対策は早期に実施を」を呼びかけています。脆弱性を長期間放置していたサイトが攻撃を受ける可能性が高いことを指摘しています。

見立てではありますが、先日のtwitterのXSS攻撃も、オフィシャルブログで公式発表されているように8月にパッチにより問題を修正したあと(脆弱性対策したあと)「アップグレード」があり、再度脆弱性の危険があるまま運営されていた・・・という流れなのではないでしょうか。

頻繁にアップグレードするサイトを運営の方々には、ぜひともオントロジーベースのDTSのWAFをお試しいただきたいものです。

今週は連休があり不定期な1週間でした。来週は平日毎日更新のDTSブログをよろしくお願いいたします!