Kasperskyのセキュリティーアセスメント部門は3月12日、企業や団体が社内で開発するウェブアプリケーションの脆弱(ぜいじゃく)性について調査を実施したと発表した。
今回同社は、2021年から2023年にかけて手掛けたウェブアプリケーションのセキュリティーアセスメントのプロジェクトを対象に、社内開発のウェブアプリケーションの脆弱性について調査を実施。対象となった企業や団体には、政府機関、IT、保険、電気通信、暗号資産(仮想通貨)、eコマース、ヘルスケアなどが含まれる。
調査の結果、最も割合が多かった脆弱性は、アクセス制御の欠陥が悪用される可能性があるもの、および機密データの保護に失敗する可能性があるもの。調査対象のウェブアプリケーションの70%にこれらの脆弱性が認められ、セキュリティー対策の強化が必要なことが浮き彫りとなった。
また、分析の結果、高いリスクをもたらす脆弱性の割合が最も多かったのは「SQLインジェクション」に関するもので、88%に上っている。もう一つ、リスクの高い脆弱性の割合が多かったのが、「弱いユーザーパスワード」に関連するもので78%。
そのほか、「弱いユーザーパスワード」は22%に留まっており、セキュリティーアセスメント時に、アナリストが実稼働中のウェブアプリケーションではなく、テスト版システムを分析した可能性が考えられるという。
