脆弱性対策情報データベースへの登録状況からみる傾向
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」10月31日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・情報登録件数1位、クロスサイトスクリプティングの脅威
・脆弱性報告数にApple製品が上位を占めた背景は?
今回の解説ニュース
脆弱性対策情報の登録状況が、脆弱性別と製品別について発表されています。多く見つかった脆弱性の内容や、特定の製品に集中して脆弱性が発見されている理由について説明します。
2022年7月から9月におけるJVN iPedia日本語版へ登録された脆弱性対策情報は4,459件で、累計登録件数が148,266件になったということです。
件数が多かった脆弱性は、「クロスサイトスクリプティング」が678件、「境界外書き込み」が336件、「境界外読み取り」が192件、「SQLインジェクション」が169件、「パス・トラバーサル」が120件などとなっています。製品別登録状況では、1位が「Qualcomm component」、2位が「macOS」、3位が「iOS」、4位が「Apple Mac OS X」、5位が「iPadOS」であったということです。
情報登録件数1位、クロスサイトスクリプティングの脅威
クロスサイトスクリプティング、略してXSSの脅威として、他の脆弱性と組み合わせることによって、XSSの脆弱性の被害を受けたユーザの権限が攻撃者に乗っ取られる可能性があります。
ご覧の皆さんへおさらいの意味も込めて、クロスサイトスクリプティングとは、XSSと略される、主にWebアプリケーションで発生する脆弱性です。攻撃者はXSSの脆弱性のあるWebサイトにスクリプトを埋め込むことで、被害者がWebサイトへアクセスした際に、被害者の情報を窃取するなどの攻撃に悪用することができます。
例えば、AさんがXSSの存在するECサイトで脆弱性を悪用した攻撃を受けたとします。Aさんがログイン済みの状態でXSSを悪用した攻撃を受けると、アクセスしている人がAさんであることをECサイト側で認識する情報が、攻撃者に奪われてしまう可能性があります。
仮に、そのAさんがECサイトの管理者であった場合、ECサイトの個人情報や、場合によってはECサイトの設定を変更する権限まで奪われてしまいますので、結果としてフィッシングサイトやマルウェアの配布に、ECサイトが悪用されてしまう可能性があります。
これらの被害が実際に発生するためには、複数の脆弱性が同時に悪用されることが必要になりますが、実際にECサイトのXSSが原因で、クレジットカード情報が漏えいした可能性のあるインシデントが多数確認されています。
その他のトピック