Webサイト（ホームページ）の脆弱性（セキュリティホール）とは、Webサイトやそれを動かすために必要なソフトウェアにおいて、設計段階や実装段階でのプログラムの不具合やミスが原因となって発生したセキュリティ上の欠陥のことを言います。

このWebサイトの脆弱性を放置しておくと、Webサイトを起点に攻撃を仕掛け、システムに侵入しようとするサイバー攻撃によるインシデント発生の危険が増加します。

一方で、企業のIT部門においても、特にWebサイトに関する脆弱性対策にまで対応するだけの時間的余裕は、なかなか捻出できないのが現状ではないでしょうか。

そこで、この記事では、「Webサイトの脆弱性って有名なものはどういうものなの？」「Webサイトの脆弱性を放置するとどうなるの？」といった疑問について解説します。

１．代表的なWebサイトの脆弱性

独立行政法人情報処理推進機構（以下「IPA」とします）並びに一般社団法人JPCERTコーディネーションセンター（以下「JPCERT/CC」とします）によって調査・公表されている「ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2022年第4四半期（10月～12月）]」によれば、届出されたWebサイトの脆弱性の内、88％が次の6つの脆弱性になります。

引用元：ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2022年第4四半期（10月～12月）]

(1) クロスサイトスクリプティングに対する脆弱性（59％）

クロスサイトスクリプティング（XSS）とは、Webサイト内のアンケートや入力フォーム、サイト内検索等、ユーザーが入力できる機能を利用してHTMLに悪質なスクリプトを埋め込まれることで、偽情報がWebサイト内に表示されてしまうものです。
ユーザーのCookie情報を知らないうちに転送させたり、偽のリンクをユーザーにクリックさせ、個人情報等を盗む他、フィッシング詐欺などにつながりうる脆弱性です。

(2) SQLインジェクションに対する脆弱性（11％）

SQLインジェクションとは、Webサイト内の入力フォームなどへ悪意のあるSQLコマンド（データベースへの命令文）を入力することで、データベース内の情報の変更、削除などが実行されるものです。
データベース内に存在する個人情報や秘密情報の漏洩やデータの改ざん、消去などにつながりうる脆弱性です。

(3) DNS情報の設定不備（11％）

DNS情報の設定不備とは、IPアドレスとドメイン名を紐づけし、IPネットワーク上で管理するDomain Name System（DNS）サーバーが適切に管理されていない事で、登録されている情報の漏洩やDNSサーバーに不適切な情報が登録・挿入されてしまう恐れがあるものです。
漏洩した情報から別の攻撃への足掛かりとなったり、第三者がそのドメイン名の持ち主であるかのようにふるまえることで、例えばフィッシング詐欺などへつながりうる脆弱性です。

(4) ファイルの誤った公開（3％）

ファイルの誤った公開とは、一般に公開すべきでないファイルが公開されており、自由に閲覧できる状態をいいます。 個人情報や秘密情報の漏洩やデータの改ざん、消去などにつながりうる脆弱性です。

(5) ディレクトリ・トラバーサル（2％）

ディレクトリ・トラバーサルの脆弱性とは、相対パスの表記を絶対パスに変換する「正規化」の仕組みを悪用することで、本来アクセスが許可されているディレクトリの範囲外にアクセスできる恐れがあるものです。
個人情報や秘密情報が記載されたファイルの漏洩につながりうる脆弱性です。

(6) HTTPSの不適切な利用（2％）

HTTPSの不適切な利用とは、証明書の期限が切れたままにしていたり、証明書が信頼された第三者機関から発行されていない状態を指します。
攻撃者はこのような状態をセキュリティ管理が不十分なサイトの判断材料にしており、WebサイトがDDoS攻撃のターゲットにされる確率が高まります。
DDOS攻撃のターゲットとなることで、Webサイトへのアクセスができなくなったり、ネットワークの遅延などの影響が発生します。

２．Webサイトの脆弱性によってもたらされる被害

IPA並びにJPCERT/CCによって調査・公表されている「ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2022年第4四半期（10月～12月）]」によれば、届出されたWebサイトの脆弱性がもたらす影響の内、93％が次の７ケースとなります。

引用元：ソフトウェア等の 脆弱性関連情報に関する 届出状況 [2022年第4四半期（10月～12月）]