日本の上位 50 サイトのウェブセキュリティレポート (Q2 2016) 本レポートでは ウェブ閲覧リサーチ会社 Alexaにて報告された日本のユーザーから 2016 年 5 月 5 日時点の閲覧されたウェブ

Similar documents
マルウェアレポート 2018年3月度版

マルウェアレポート 2017年9月度版

マルウェアレポート 2018年1月度版

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

マルウェアレポート 2018年4月度版

Microsoft Word - プリンタ設定手順_改

テーマ :Twitter の現状と展望 酒井健吾 1. 調査の目的本稿は 新たなコミュニケーションツールとして台頭する Twitter の現状と展望に関する動向の概要を調査した上で Twitter が現在抱えている課題とその対策について検討する 2. 調査の概要 Twit

— intra-martで運用する場合のセキュリティの考え方    

マルウェアレポート 2018年2月度版

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

2 目次 1 はじめに 2 システム 3 ユーザインタフェース 4 評価 5 まとめと課題 参考文献

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

Microsoft PowerPoint - SMMC全国ソーシャルメディアユーザー1000人広報調査第2回リリース.ppt [互換モード]

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

SQLインジェクション・ワームに関する現状と推奨する対策案

売れる! インターネット活用術 < 第 3 回 > SEO の基礎知識 株式会社スプラム 代表取締役竹内幸次 ( 中小企業診断士 ) SEO で新規顧客を導く 世界一の検索サイト Google で http とだけ入力して検索すると 252 億ページがヒットします ( 見つかります ) 日本語のペー

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

設定 作成可能数 5 個 般 投票に対応 投票は 1 個作成可能 投票 投票は1 個作成可能投票は 投票項 (1つのにつき1 問 選択肢は10 個 ) といくつかの 項 ( 設置可能な数はプランごとに異なります ) を設置できます 投票結果は円または横棒グラフでグラフィカルに表 されます スマートフ

クライアント証明書インストールマニュアル

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

PowerPoint プレゼンテーション

Webサイト解析 ログ分析レポート

愛知工業大学表1-4.indd

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

特定健診ソフト クイックインストールマニュアル

Tor Browser について ( その 2) Onion サービス Onion サービス ( 以前は hidden サービス と呼ばれていました ) は Tor ネットワーク経由でしかアクセス出来ないサービス ( ウェブサイト等 ) です Onion サービスは 非プライベートウェブ上の通常のサ

1. はじめに (1) 本書は 厚生年金基金ネットサービス を既にご利用されている基金様に向けて ウェブブラウザを Internet Explorer( 以下 IE)11 にアップグレードする手順をご案内するものです (2) 項目 2 から 5 までの全手順を実施願います ( 所要時間 : 約 30

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

はじめに 動作環境について 教職員ポータルシステム ( 教職員用 Web システム ) は インターネットに接続しているパソコンを 利用して操作することができます 動作保障されている環境は以下のとおりです (1) クライアント構成 (Windows PC) 1OS Windows 10 Window

delvaux-cookies-policy-ja

Microsoft Edge の場合 (1) Mizdori 無料体験版ダウンロード画面の [ 体験版ダウンロード ] ボタンをクリックします (2) Edge の下部に mizdori_taiken_setup.zip について行う操作を選んでください と表示され ますので [ 開く ] をクリッ

文書番号: NWT KO001

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

改訂履歴 版数 改訂理由 / 内容 制定 / 改定日 変更者 3.0 新サイト用に新規作成 2016/9/26 クオリカ株式会社 3.1 ユーザー向けに追記 2016/9/30 CP 事業部 3.2 初期設定追加 2016/10/6 CP 事業部 1

ESET Mobile Security V4.1 リリースノート (Build )

SENZOKU

incidentcase_0507

BACREX-R クライアント利用者用ドキュメント

PowerPoint プレゼンテーション

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

Microsoft PowerPoint - APC pptx

 お詫び

スライド 1

Microsoft Word - Web版付録1(7, 10 および Vista)改訂版.docx

事前準備マニュアル

PUSH WEB へのアクセス方法 1.yahoo google 等の検索エンジンにて プッシュマスター と入力して検索 2. 検索結果として表示されるブリヂストンプッシュマスターのプッシュマスターのオフィシャルページにアクセス 2 ページ

Pad-web 電子証明書有効期限切れへのご対応について 弊社年金制度管理システムをご利用の方は 同システムのマニュアルをご参照ください 第 1.3 版 初版作成 : 2015/8/28 最終更新 : 2018/5/9

インターネットフィルタリング簡単マニュアル

SHOP99 99 SHOP サイトにデータベースを構築 phpmyadminの設定 1 ー 監修 Yours YoursCompany Company 監修 Yours

SSB_G_ver1.0_2013.8

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

4.5 ブログが弱くても上位表示させる裏ワザ

クライアント PC の入替時の初期設定 及び画面が崩れたり 簡易入力 ⅡPro での障害時の設定 2/10 (3) 全般 のタブ 閲覧の履歴の 設定 ボタンをクリックしてください (4) 保存しているページの新しいバージョンがあるかどうかの確認 の内容確認 Web サイトを表示するたびに確認する に

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

クライアント証明書インストールマニュアル

Microsoft Word - MyWebMedical40_client_guideIE8.doc

Apache-Tomcat と 冗長な UTF-8 表現 (CVE 検証レポート ) 2008 年 08 月 26 日 Ver. 0.1

次 サイト概況 ( 直近 3 ヶ ) 1 流 経路のサマリ 16~17 サイト概況 ( 当 / 前 / 前年同 ) 2 流 経路広告サマリ 18~19 業界 較 サマリ 3 業界 較 流 経路 20 訪問数の推移 ( 別 ) 4 検索エンジンからの流 推移 21~22 新規とリピーター数の推移 (

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

スライド 1

<4D F736F F D CC82BD82DF82CC50438AC28BAB90DD92E82E646F63>

スライド 1

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

(Microsoft Word - Avira\216j\217\343\215\305\221\254\202\314\214\237\217o\203G\203\223\203W\203\223\202\360\223\213\215\332\201I\201uAvira Free Antivi

112 インターネットインターネットに接続する 本製品では 次のいずれかの方法でインターネットに接続できます パケット通信 (LTE NET LTE NET for DATA)( P.112 パケット通信を利用する ) Wi-Fi ( P.173 Wi-Fi を利用する ) LTE NET または

電子入札システム利用時に必要な Internet Explorer のオプション設定手順 2011 年 3 月版 電子入札システムを利用する上で必要な Internet Explorer の設定について下記に示します ご利用の OS とブラウザのバージョンを確認し 設定を行ってください 1. Win

Microsoft Word - gred_security_report_vol17.final

PowerPoint プレゼンテーション

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

spsafety_manual_sp_start_

2 COPYRIGHT TempNate. ALL RIGHTS RESERVED.

ポップアップブロックの設定

履歴 作成日 バージョン番号 変更点 2016 年 9 月 19 日 新システム稼働本マニュアル ( 初版 ) 2016 年 10 月 6 日 システム公開に伴う 初版最終調整 2016 年 11 月 7 日 添付ファイルの公開設定について 追加 2

09明大後期3すぐやる×認められるセミナー.ppt

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

metis ami サービス仕様書

Shin Gothic Pro OpenType Light Adobe Japan1 4

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

SciFinder (Web版) のエラーへの対処法

< B C815B F898AFA90DD92E8837D836A B E786C73>

Microsoft Word - (修正)Internet Explorer 8 9設定手順 受注者.DOC

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

- 目次 - ページ数 1. お客様管理者用コントロールパネル (SCP) について P.2 2. 管理者用コントロールパネル (SCP) にアクセスする P.3 3. メールマネージャーについて P.5 4. FTP マネージャーについて P サイト統計情報 (Urchin) について

富山県電子入札「事前準備マニュアル《                  (2005

<4D F736F F D208E96914F8F8094F5837D836A B2E646F63>

PowerPoint プレゼンテーション

第1章 業務共通

マルウェアレポート 2017年12月度版

目次 調査対象企業 P.3 Web サイトのページの数 P.4 アクセス解析ツールの有無 P.5~6 リスティング ( 検索連動型広告 ) 実施の有無 P.7~8 常時 SSL 対応の有無 P.9~10 モバイル対応の有無 P.11~12 企業データ P.13 お問い合わせについて P.14 2

提案書

新:コミュ障レポート.pages

PowerPoint プレゼンテーション

インターネット インターネットに接続する 145 パケット通信を利用する 145 ブラウザを利用する 146 Webページを表示する 146 ブックマーク / 履歴を利用する 149 ブラウザを設定する

管理者マニュアル

Transcription:

日本の上位 50 サイトのウェブセキュリティレポート (Q2 2016) 本レポートでは ウェブ閲覧リサーチ会社 Alexaにて報告された日本のユーザーから 2016 年 5 月 5 日時点の閲覧されたウェブサイトの上位 50サイトをベースに メンロセキュリティによる開発ツールを用いた独自調査による それらのウェブサイトの脆弱性に関する状況をまとめたものです 実際に上位 50サイトのうち15サイトの閲覧結果から脆弱性が報告されているバージョンのソフトウェアの使用が確認されました また それら15 社のうちの半数以上がよく知られた誰もが使用する 一見すると信頼性が高いと思われるサイト ( プロバイダーのポータルサイトやブログなど ) でした このような脆弱性は何故そこにあり どこから来るか確認してみると昨今のインターネットにおけるセキュリティの問題が浮き彫りとなりました 今回の5 月 5 日時点での集計と 前回の1 月 15 日時点でのAlexaによる日本の上位 50サイトの詳細を見てみると そこには脆弱性とは別にある傾向が強く出ていることが確認できます Yahoo, Googleなどの大手検索サイトはもとより Twitter, FacebookやYoutube などの他国でも上位を占めるサイトは日本でも上位 10 社に入っていました 上位 50サイトでブログに関するドメインが多数報告されているのも特徴的であると思います 上位 50サイトのうちのアダルトサイトの数が前回の5 社から2 社に減っていました 日本特有の小売製品の価格の比較サイトや小売店のサイト自身やレストラン検索なども散見されます 何故 ブラウザはスクリプトを必要とするのでしょうか? あなたのブラウザで JavaScript を有効にする方法 URL: http://www.enable-javascript.com/ja/ より 実際に日本の上位 50 ウェブサイトで使用されている Java Script のスクリプトの数とサ イズを以下の定義に従って確認してみました 1

ウェブサイトを表示した際に実行されるスクリプト ( 海外ドメインによって 実行されるものを含む ) の数 該当サイトをブラウザが閲覧した際にダウンロードされたコードのサイズ 上記の二つのポイントにおいて確認することで ウェブ閲覧時にサイトがたくさんのス クリプトを提供していることがわかります たくさんのスクリプトが大量に送られてく ることは 閲覧時のリスクも同様に増えていると言えるでしょう 1. 上位 50のウェブサイトでのスクリプト実行の状況上位 50サイト全般を通して以下の状況が確認されました 実際に上位 50サイトの閲覧時には多くのJavaScriptがブラウザ上で実行されています JavaScriptの使用は前回の21から23.76と若干ながら増えています その最大は99のスクリプトが一つのリクエストで実行されました 上位 50サイトで30を超えるスクリプトが実行されたのは全体の30% 以上で 20 以上となると半数を超えます スクリプトの実行数の多い上位 10サイトは小売店 ソーシャルメディア レストラン検索と多岐に渡っていました 表 1. ダウンロードされた JavaScript の数 2

2. 上位 50 のウェブサイトでダウロードされたコードサイズ 上位 50 サイトの一つ一つのサイトからダウンロードされるコードの総量を測定してみ ると驚きの結果を得ました 表 2. ダウンロードされた JavaScript のコードサイズ (M byte) 上位 50サイト全般を通して以下の状況が確認されました 上位 50サイトからブラウザに送られてくるコードの平均サイズは1Mバイト超というものでした ほとんどのサイトからは1Mバイト以下のコードが送られてきます 上位 3サイトからは2.5Mを超えるサイズのコードが送られてきています 上位 10サイトには頻繁に使われるソーシャルメディア レストラン検索 ブログなどが多数含まれています 今回の結果は各サイトのトップドメインへのアクセス結果です 配下のページではさらに多くのコードが使用されています 3

3. 上位 50ウェブサイトに関連する脆弱性本レポートでは 日本における上位 50サイト もしくはその背後にあるウェブサイトへアクセスした際のコードから確認された稼働しているサーバーのバージョンについて報告します これらのバージョンから既知の脆弱性の有無をMITREのCVEのデータベースで確認できます (CVEについてはhttps://www.ipa.go.jp/security/vuln/CVE.htmlを参照ください ) 確認できた内容は: 実に50サイト中 15サイトにおいて17 件の脆弱性が報告されているウェブサーバーからコードがダウンロードされていたということです マイクロソフトIISのバージョン7.5/8.5は 多くの脆弱性が早くから報告されており 旧いものでは5 年以上も前から報告されています 表 3. ウェブサイト閲覧の日本の上位 50 サイト 脆弱性の可能性状況 ( 件数 ) 4

考察上記の結果から 日本において最もポピュラーな50のウェブサイトにおいて考察として言えることは 今日ウェブサイトの提供側はユーザーへの有用性としてウェブサイトの開発者がスクリプトを使用する多くの合法的な理由がありますが 同時に攻撃者は ウェブアクセスを通じた攻撃として iframeタグやenbedタグを使用しての悪意のある広告サイトへの勝手な誘導を可能としていることにもなるのです ここ数年では NoScriptのような技術を使用することがウェブセキュリティの専門家などからも提唱されてきていたが スクリプトの実行を制限するために実際の現場での導入については技術的にも 他の運用的な問題でもユーザーの運用面の制限なくすることは難しい状況であることは様々な方面から報告されています 今回の調査で確認された注意しなければならないことは 私たちが普段頻繁にアクセスしているポピュラーなウェブサイトにおいても 毎日のように報道されているインシデントで知られているように脅威のリスクがあるということです つまり 信頼性の高いと思われるウェブサイトでも全くの安全とは言えないということです 今回の調査で日本から頻繁にアクセスされる上位 50のウェブサイトでは平均して24 近いスクリプト ( 幸い今回の弊社の調査時点ではそれらのスクリプトには脅威は見つかっていません ) が実行されているという事実です もし あなたの会社の社員が今回の上位 5 社のウェブサイトをアクセスしただけで200 以上のスクリプトがその社員のPCで実行されていることを知ったら そのサイトへ躊躇なくアクセスできますか? ほとんどのサイトでスクリプトの使用を許可しないと有用性の高いアクセス 情報取得が不可能な今日で 常に脅威の可能性を含むスクリプトの実行をユーザー PC 上から分離された環境で実施し 実施した結果の表示情報を無害化してユーザー PCに届ける隔離 (Isolation) 技術によってセキュリティを確保されたアクセスであれば あなたのブラウザ環境に襲いかかるかもしれないこのような脅威への心配は無用となります 追記 : 試験実施日 2016 年 5 月 5 日 ( 木 ) ブラウザ環境 Chrome version 47.0.2526.106 (64-bit) on El Capitan 10.11.2 参考 - Alexa Top 50 for Japan - http://www.alexa.com/topsites/countries/jp. 2016 年 6 月 10 日一部に誤記がございましたため 訂正いたしました 5

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック