Webサイトの脆弱性はなぜ速やかに修正されないのか WebサイトやWebアプリケーションサーバの脆弱性を突いて、攻撃をしかけ、ホームページの改ざんや大量の顧客情報を盗みとる事件が頻発している。そこで利用されている手法の多くが、SQLインジェクションやクロスサイトスクリプティングといった、どちらかと言えば旧知の攻撃手法であることに、驚かれる方も少なくないだろう。 例えばApacheやIISといったWebサーバソフトウェアの脆弱性であれば、開発元から提供されるパッチの適用やバージョンアップにより、大抵のケースは被害を未然に防止することができる。同様に、旧知の攻撃手法であって対策が明らかにされているのならば、その対策を行えばいいだけだと思うのが普通だろう。そういったことから、名の通った大企業が、なぜ、SQLインジェクションなどへの対策を施していなかったのか、と驚くわけだ。 IPAが今年5月に公表